某电子邮件客户端软件本地XSS漏洞 - 网站安全-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

某电子邮件客户端软件本地XSS漏洞 - 网站安全

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] ~某电子邮件客户端软件本地XSS漏洞~DreamMail 是一款专业的电子邮件客户端软件，用于收发和管理电子邮件。它支持多用户，每个用户支持多个邮箱帐号；支持POP3、APOP、SMTP、eSMTP、SASL等...

~某电子邮件客户端软件本地XSS漏洞~

DreamMail 是一款专业的电子邮件客户端软件，用于收发和管理电子邮件。它支持多用户，每个用户支持多个邮箱帐号；支持POP3、APOP、SMTP、eSMTP、SASL等认证模式，支持SSL加密传输，支持gmail、msn、live、hotmail、163、qq、263、sina等绝大多数的邮箱收发。

**漏洞原因：

该客户端软件接收邮件时默认按照HTML方式显示，通过测试存在本地xss漏洞；

1.采用任意邮箱发送邮件，内容为xss代码如：

<img src=# onerror='alert("XSS")'>

这里采用的是QQ邮箱发送：

2.使用dreammail客户端接收效果如下：

修复方案：

过滤~

PageAdmin任意文件删除+注册管理员 - 网站安全 - 自

用友某系统任意文件读取 - 网站安全 - 自学php

最新评论

加载更多~~

添加评论

更多文章推荐

qibocms V7 整站系统最新版SQL注入一枚和另外一处能 2015-04-15
DESTOON 补丁没补好导致的注射 - 网站安全 - 自学 2015-04-15
yxcms任意文件删除致可被重新安装 - 网站安全 - 2015-04-15
B2Bbuilder最新版SQL注入（DEMO演示） - 网站安全 - 自学php网 2015-04-15
Discuz! X2.5 / X3 / X3.1 可CSRF删管理员账号 - 网站安全 2015-04-15
江南科友HAC运维审计系统存在命令注入及暴路径 2015-04-15
TSRC挑战赛：WAF之SQL注入绕过挑战实录 - 网站安全 2015-04-15
Ecmall V2.3.0-UTF8正式版SQL注入漏洞打包 - 网站安全 2015-04-15
Tipask全版本通杀持久型XSS漏洞 - 网站安全 - 自学 2015-04-15
新浪微博部分App Oauth2漏洞 - 网站安全 - 自学php 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论