漏洞利用： 【泄露地址】：使用与AppCache对象大小相同的net::CanonicalCookie对象来占用释放对象的内存，而CanonicalCookie对象开头是个cookie名称，即字符串指针，再从浏览器中读取cookie信息来达到信息泄露的目的，从而拿到可控数据的堆地址绕过ASLR。 【代码执行】：使用与AppCache对象大小相同的Blob对象对占用释放内存，再伪造AppCacheGroup对象，当它析构释放时，在~AppCacheGroup中会调用到已被填充控制的虚函数指针，再结合ROP绕过DEP，从而达到代码执行。