触发条件比较苛刻,但还是觉得应该提交一下
先说一下字符集缺陷的问题.
字符集[ISO-2022-KR]会把以开头结尾的一串字符看作是2 bytes也就是一个字符。换句话来说,它可以帮助我们绕过一些Filter。暂时发现支持这个字符集的有Firefox,其它浏览器没做太细致的测试。
构造这样的邮件内容:
当用户试图打印这个邮件(或者打印预览)并更改页面编码为ISO-2022-KR时即可触发。
我们可以加一些引导性的,类似于乱码的东西到邮件内容当中,引导用户去更改邮件编码为ISO-2022-KR,FF下显示棒子文99%应该都是会用这个字符集)。
经过用户的这一系列操作后,查看下 源码 可以看到 我们已经成功了:
<h1 a="♥ " onmou seo ver="alert('hehe');asd<a" target="_blank" href="123">asd</h1>
修复方案:
也可以不修复,毕竟触发条件有点苛刻。
但是其它邮箱并没能发现同样的的问题。
查看更多关于新浪邮箱存储型XSS(字符集缺陷) - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15662