注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
0day发布
» QQ Mail跨站脚本漏洞
返回列表
发帖
saitojie
发短消息
加为好友
saitojie
(阿呆)
当前离线
www.cispcn.com
UID
1536
帖子
416
精华
4
积分
1324
威望
1596
金钱
656
阅读权限
150
性别
男
在线时间
139 小时
注册时间
2008-8-5
最后登录
2016-8-8
超级版主
帖子
416
积分
1324
威望
1596
金钱
656
在线时间
139 小时
1
楼
跳转到
»
正序看帖
打印
字体大小:
t
T
发表于 2008-8-31 12:24
|
只看该作者
QQ Mail跨站脚本漏洞
漏洞
,
脚本
,
Mail
#内容#
漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问
http://mail.qq.com/
。但是80sec在QQ Mail里发现存在新的严重跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用ajax等技术读取用户的敏感信息,任何浏览该邮件的用户都存在身份泄漏的风险。
漏洞成因:QQ Mail的Filter在解析Html标签时存在错误,构造畸形的Html标签将绕过过滤,从而在邮件正文里执行任意javascript。QQ Mail对这种类型的标签不做任何过滤,认为是无效html标识符而不做过滤,但是IE却可以正常解析该Html,所以构造如下的畸形Html邮件。
Hello, </xss style="x:expression(alert(document.cookie))">
将触发Xss漏洞。
漏洞测试:发送如下Html:
Hello, </xss style="x:expression(alert(document.cookie))">
文章转载自『非安全中国网』
收藏
分享
阿呆主站:
CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:
北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!
网络黑崽
发短消息
加为好友
网络黑崽
当前离线
UID
2957
帖子
111
精华
0
积分
228
威望
189
金钱
168
阅读权限
30
性别
男
在线时间
39 小时
注册时间
2008-11-2
最后登录
2009-3-22
3.A.S.T中尉
帖子
111
积分
228
威望
189
金钱
168
在线时间
39 小时
3
楼
发表于 2008-11-9 18:34
|
只看该作者
看完了才知道是转载的啊!虽然看的有些晦涩,但我会努力的!
喜欢网络!
TOP
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
@@@ 加入本站会员 一个月月赚1200+的秘密@@@
@@@ 加入本站会员 一个月月赚1200+的秘密@@@