最新列表
新闻资讯
软件产业
技巧应用
软件评测
教程中心
电脑安全
游戏娱乐
软件学院
编程开发
硬件导购
手机数码
论坛社区
网站地图
小心你的QQ邮箱 QQ邮箱暴跨站漏洞2008-04-03 09:11:48 来源:IT168.com 作者:X140CC 点击:
笔者最近在使用QQ邮箱的时候,发现QQ邮箱的文本编辑器支持HTML格式编辑邮件,但是一些容易引发跨站的标签属性,都已经过滤掉。  笔者最近在使用QQ邮箱的时候,发现QQ邮箱的文本编辑器支持HTML格式编辑邮件,但是一些容易引发跨站的标签属性,都已经过滤掉。测试邮件标题的时候发现一个很有趣的小漏洞,这个跨站引发在发邮件的时候和回复邮件的时候。所以也是可能被利用的。 所有的跨站代码,这里都支持。以这个为例,测试一下。<IMG LOWSRC="javascript:alert('XSS')">
填写好后,点击“填写好后,点击“发送”,出现如下提示:
1点击“确定”返回邮件发送成功的页面。
图3 我想到了,可能被利用的一点。 这样的迷惑就大一些了。而QQ邮件的标题似乎没做长度很大。所以可以像下面那样填写标题。
中间加上许多空格。这样在QQ右下角提示来新邮件的时候,就不会显示后面的编码部分。只显示空格前面的标题。如果你的内容比较具有迷惑性,当对方甚至不更改标题,直接回复你的时候就引发跨站了。当然对方用的是必须是QQ邮箱,别的邮箱也许也会有这样的跨站漏洞。这只是一个简单的利用,或许有更特别的方式。本文到此结束,也提醒大家注意防范此类风险。 
|
|
||||
 |
||||
|
|
|
||||
|
|
||||
|
|
|
||||
|
|
||||
|
|
