论文部分内容阅读
知道不?Microsoft Internet Expkxer在处理“sysimage://”协议时存在问题,远程攻击者可以利用这个漏洞判断目标系统中安装的软件。“sysimage://”是用于显示相对文件路径的正确图标,默认行为是如果存在的文件路径作为输入,它就显示相关图标,但是如果提供的文件路径不存在,它就装载文件夹的图标来代替,利用这个特性可判断目标系统中安装的软件。在网页添加如下代码就可以实施攻击: