登录
【IT168 专稿】笔者最近在使用QQ邮箱的时候,发现QQ邮箱的文本编辑器支持HTML格式编辑邮件,但是一些容易引发跨站的标签属性,都已经过滤掉。测试邮件标题的时候发现一个很有趣的小漏洞,这个跨站引发在发邮件的时候和回复邮件的时候。所以也是可能被利用的。
所有的跨站代码,这里都支持。以这个为例,测试一下。<IMG LOWSRC="javascript:alert('XSS')">
图1
填写好后,点击“填写好后,点击“发送”,出现如下提示:
图2
| 第1页: QQ邮箱跨站漏洞原因 | 第2页: QQ邮箱跨站漏洞利用 |
