网站地图    收藏   

主页 > 后端 > 网站安全 >

某电子邮件客户端软件本地XSS漏洞 - 网站安全

来源:自学PHP网    时间:2015-04-16 23:15 作者: 阅读:

[导读] ~某电子邮件客户端软件本地XSS漏洞~DreamMail 是一款专业的电子邮件客户端软件,用于收发和管理电子邮件。它支持多用户,每个用户支持多个邮箱帐号;支持POP3、APOP、SMTP、eSMTP、SASL等...

~某电子邮件客户端软件本地XSS漏洞~

DreamMail 是一款专业的电子邮件客户端软件,用于收发和管理电子邮件。它支持多用户,每个用户支持多个邮箱帐号;支持POP3、APOP、SMTP、eSMTP、SASL等认证模式,支持SSL加密传输,支持gmail、msn、live、hotmail、163、qq、263、sina等绝大多数的邮箱收发。



**漏洞原因:

该客户端软件接收邮件时默认按照HTML方式显示,通过测试存在本地xss漏洞;



1.采用任意邮箱发送邮件,内容为xss代码如:
 

<img src=# onerror='alert("XSS")'>



这里采用的是QQ邮箱发送:
 

xss1.png



2.使用dreammail客户端接收效果如下:
 

xss2.png

 


 

cen.png



 

修复方案:

过滤~

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论