OpenWebMail的持久性跨站漏洞
邮件系统XSS漏洞的危害:可用于钓鱼欺骗、获取本地信息。不说太多的废话了,并不是openwebmail系统没有处理xss类的攻击代码,只是经过特殊
的转换还是可以实现我们的目的。这其中的变化很多,只是说一下这里我们用到的一些东西。
的转换还是可以实现我们的目的。这其中的变化很多,只是说一下这里我们用到的一些东西。
我们是通过div中的style来实现的,当然也可以通过其他的html元素来实现我们的xss
,但是如果直接提交代码肯定是不能通过的,这里我们需要用到两点:
1.javascript的document.write
2.攻击代码需要转换成ascii,通过eval执行
,但是如果直接提交代码肯定是不能通过的,这里我们需要用到两点:
1.javascript的document.write
2.攻击代码需要转换成ascii,通过eval执行
如何写代码?
<div
style="width: expression(eval(String.fromCharCode(攻击代码))}" />
<div
style="width: expression(eval(String.fromCharCode(攻击代码))}" />
其他?
这个方法只是很好的在openwebmail上实现出来了,其他的一些邮件系统也存在,
大家自己去挖掘吧。
这个方法只是很好的在openwebmail上实现出来了,其他的一些邮件系统也存在,
大家自己去挖掘吧。
下一篇:3389无法连接的5种原因