• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    新浪邮件正文富文本过滤不严格 可插入任意标签导致XSS

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    新浪邮件正文富文本过滤不严格,涛涛电脑知识网,可以插入任意标签,导致XSS。
     
    发送邮件时,使用fiddler拦截修改邮件正文内容为
    aaaaaaaaaaaa<script defer="defer">alert(/xss by cc/);</sc<iframe>ript>
    提交后,过滤器会去掉<iframe>使</sc<iframe>ript>变成</script>
     
     
     





     
    这边有个小细节,www.xuhantao.com,就是script中的defer="defer"属性。
    至于这个属性的详细介绍,请看
     
     
    但是美中不足的是,这个标签只对ie有效果。


     触发图片
     


     
     
    服务器返回的json数据:
     


    修复方案:
    还是。。。加强过滤。

    作者 insight-labs

  • 上一篇:康城公司注册类网站系统cookies注入漏洞
  • 下一篇:美特斯邦威某分站sql注入可获取管理账户
    • 相关文章
    • 没有相关文章
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1