~某电子邮件客户端软件本地XSS 漏洞 ~
DreamMail 是一款专业的电子邮件客户端软件,用于收发和管理电子邮件。它支持多用户,每个用户支持多个邮箱帐号;支持POP3、APOP、SMTP、eSMTP、SASL等认证模式,支持SSL 加密 传输,支持gmail、msn、live、hotmail、163、qq、263、sina等绝大多数的邮箱收发。**漏洞原因: 该客户端软件接收邮件时默认按照HTML方式显示,通过测试存在本地xss漏洞; 1.采用任意邮箱发送邮件,内容为xss代码如:
<img src=# onerror='alert("XSS")'>这里采用的是QQ邮箱发送:
2.使用dreammail客户端接收效果如下:
修复方案:
过滤~
查看更多关于某电子邮件客户端软件本地XSS漏洞 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15163