IT技术互动交流平台

QQ邮箱中的收件箱XSS漏洞及修复

发布日期:2012-07-06 18:45:43

这个XSS漏洞目前在Chrome,FF,IE9下测试通过

具体过程

1.点击 “写信”按钮

2.点击上传“超大附件”

 


 

上传的文件是一个大小为8Byte的名为"play.txt"的文件

3.代理和注入

开启BurpProxy截包www.it165.net


 

点击发送按钮

之后观察在burpproxy之中的"bigattachcontent=" 的值


 

修改"play.txt"中的内容为“%22%20onmousemove=%22alert('test')%22%20”

重复之前的操作

4.注入步骤之 二

现在我们在重复之前的操作之后在看看"bigattachcontent="的值


 

改变“8 Byte”的内容为 %3E

5.关闭代理,之后发送EMail

6.现在打开那封邮件 把鼠标放到附件的那一块区域


 

这时候就加入了"onmousemove event"


修复方法:
漏洞你反馈到官方
Tag标签: XSS漏洞   QQ邮箱  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规