qq邮箱的几个跨站的方式及修复方案(用word文档,flash跨站,文本型附件等)

相信爱,不要相信爱情,爱是瞬间的美,情是永恒的痛,灿若烟花,稍纵即逝,那一刻,我知道,我错了。
QQ邮箱储存型xss,无任何过滤哦亲..

邮箱打开附件处文本型附件可以直接打开,对文本字符无任何过滤。在所有ie内核的浏览器下面触发文本内的xss
 
通过以下步骤可在现漏洞
 
首先建个记事本输入<script>alert("by:pijiu")</script>保存。
 
 
然后打开QQ邮箱点击添加附件,将包含js脚本的.txt文件添加到附件,之后发送到别人的QQ邮箱。
 
ie下打开邮件点击附件下面的“打开”
 
 
 
xss 成功触发
 



 
 
修复方案:
打开按钮旁边既然有预览,在线打开功能就阉割了吧..


第二个:
腾讯邮箱附件flash储存型跨站漏洞..
详细说明:
漏洞再现
首先制作flash
 
 
然后发送附件
 
 
当邮件发送成功之后,随邮件发出去的附件会保留在对方的附件夹里面
 
 
当对方点击包含代码的flash 触发xss
 
 
点击文件QQ先是加载自己的flash播放器,再通过播放器加载附件的flash。由于在播放器内没有任何代码运行限制导致附件flash畅通运行.
 
 

 
修复方案:
你懂的.


作者: 啤酒


第三个:word文档略显纠结的XSS

word文档里加入超链接木有过滤啊!

就是这样。




修复方案:
腾讯霸气威武!
作者 goderci

以上就是qq邮箱的几个跨站的方式及修复方案(用word文档,flash跨站,文本型附件等)。不管现实有多惨不忍睹,你都要固执的相信,这只是黎明前短暂的黑暗而已。更多关于qq邮箱的几个跨站的方式及修复方案(用word文档,flash跨站,文本型附件等)请关注haodaima.com其它相关文章!

您可能有感兴趣的文章
局域网共享安全方式之用局域网文件共享系统如何实现共享文件夹安全设置

IIS 短文件/文件夹漏洞修复方法

用mcafee麦咖啡设置服务器基本用户安全(防止新建用户与修改密码)

防范黑客入侵,关闭端口封锁大门 黑客无法入侵

现代网络性能监控工具应具备何种技能?网络与应用程序监控