sohu邮箱xss漏洞

最新推荐文章于 2024-03-08 15:05:15 发布
最新推荐文章于 2024-03-08 15:05:15 发布
阅读量248 收藏
点赞数
文章标签: web安全 网络安全 hack 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124172284
版权

漏洞详情

披露状态:

2010-07-23: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-22: 细节向公众公开

简要描述:

sohu,sogou邮箱xss,可能传播蠕虫

详细说明:

全角字符形式expression表达式未被过滤。而全角字符形式的expression能够被IE6解析并执行,因此,该漏洞可能导致使用IE 6.0访问sohu邮箱的用户遭受XSS攻击。
测试语句: <DIV STYLE="width: expression(alert('XSS'));">

漏洞证明:

源码为<DIV STYLE="width: expression(alert('XSS'));"> 的邮件

修复方案:

增加过滤

Sword-heart
关注
CVE-2018-6882 Zimbra邮件系统XSS漏洞利用
weixin_30343157的博客
05-08 1495
CVE-2018-6882是一个存储型XSS漏洞,利用该漏洞可获取目标邮箱的收件箱、发件箱等邮件内容。也可以给目标邮箱绑定一个“辅助邮箱”,当目标邮箱收到新邮件时“辅助邮箱”也会收到相同的邮件,实现对目标邮箱的实时监控。 漏洞细节请大家参考这篇文章:https://www.securify.nl/advisory/SFY20180101/cross-site-scripting-vu...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
zz12345600354的博客
04-23 1027
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
漏洞学习——XSS】189邮箱一处XSS
Fly_鹏程万里
02-22 619
漏洞细节 额javascript中on事件挺多,找了个不被过滤的。。。 为了方便操作用QQ邮箱源码模式进行发送,为了发送成功需要添加一些文字内容不然会被拦截 &lt;details ontoggle="confirm(document.cookie)"&gt; xss &lt;summary&gt;click me&lt;/summary&gt;xssxssxss &lt;/de...
黑客利用搜狐视频XSS漏洞发动大规模DDoS攻击
05-01 295
近日提供DDoS防护的公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型跨站脚本漏洞(这个漏洞现已被修复)。 攻击者利用这个漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论都附带了恶意代码。当用户访问含有恶意代码的页面时这些代码会执行并触发另...
漏洞学习——XSS】TOM邮箱存储型XSS一枚
Fly_鹏程万里
02-22 493
漏洞细节 首先在个人签名的标题和内容处输入"&gt;&lt;img src="#" onerror=alert('22222222222')&gt; 点击保存 写一封信 一直都是服务繁忙,发送不出去 于是对签名内容进行base64加密 打开收到的邮件,成功触发 弹cookie 修复建议 加强过滤...
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
JSP使用过滤器防止Xss漏洞
10-17
Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
腾讯邮箱反射型xss
weixin_34255055的博客
10-19 227
2019独角兽企业重金招聘Python工程师标准>>> ...
QQ邮箱有效的XSS payload
怡帆的博客
05-21 1362
在阅读完道哥的《白帽子讲WEB安全》后,对QQ邮箱XSSpayload技痒,遂在QQ邮箱中进行尝试,以下为尝试过程和有效的payload代码
QQ邮箱反射型xss漏洞
Coisini的博客
06-13 3008
……,对,我印象中写过了,刚才因为需要要用,搜索了一下,是空的,嘶嘶嘶~可怕~ 起因 甲方“一个人的安全部”的时候,一个研发的同事在设计一项报表功能时,因为受到邮箱安全限制无法很好的实现,于是将情况反馈给我。说实话,我对浏览器的安全也不太了解,案头的书翻了几页就没再动过,于是对比了腾讯邮箱的做法,发现了这个xss。 背景 公司使用coremail搭建企业邮箱,开发做了一个通过邮件发送h...
QQ邮箱鸡肋存储型XSS漏洞利用
weixin_30412577的博客
09-18 332
最近学习XSS跨站时,刚好发现了QQ邮箱的一个XSS漏洞。 具体的漏洞信息已提交乌云:wooyun-2013-037371 现在主要是做下简单的总结,也是自己第一次,马克一下。 对于这个漏洞的利用, 一、使用了标签属性劫持,这个没什么好说的 二、使用Flash的跨域,Flash使用的As3脚本从未接触过,本着语言都相通的思想,尝试写了一个盗取cookie的as3脚本, 当写成功后...
悬镜安全丨雅虎邮箱存储型XSS漏洞,黑客可以看到你发的每一个邮件
Anprou的博客
12-13 1386
演示了恶意攻击者如何利用XSS漏洞攻下雅虎邮箱,将受害者收件箱中的邮件发到外部站点;以及构建病毒,这个病毒可以通过向邮件签名中添加恶意脚本,附加在所有传出的电子邮件中。 由于恶意代码就位于邮件消息的正文中,代码会在受害者打开邮件时立即执行,不需要其他交互过程。所有问题的症结实际上在于雅虎邮箱无法正确过滤HTML邮件中潜在的恶意代码。
供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
Anprou的博客
03-08 910
Winmail是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。
xss植入_微软Outlook for Android移动应用的XSS漏洞分析
weixin_33623304的博客
12-22 390
今天分享的Writeup是关于Outlook for Andriod的存储型XSS漏洞,作者通过朋友发来的技术邮件偶然发现了该漏洞,历经长达几个月的复现构造,最终微软承认了该漏洞(CVE-2019-1105)。漏洞发现原因2018年底的时候,我一个朋友发邮件请我帮忙分析他在研究的一些JavaScript代码,虽然我不做漏洞挖掘,但他发过来的邮件在我的手机上显示出了一些奇怪的东西。我手机是...
exchange中XSS
m0_47968686的博客
10-16 833
exchange获取cookie 0x01前言 实验环境:win7、winserver2016、win10。 win7搭建有https服务器,winserver2016 exchange搭载在上边,win10作渗透机 0x11漏洞信息 首先是一个XSS漏洞(CVE-2021-31195)漏洞成因使用\绕过json格式从而达到js注入。 https://exchange/owa/auth/frowny.aspx ?app=people &et=ServerError &esrc=MasterP
DOM型XSS漏洞测试payload大全
XSS漏洞 DOM型测试 payload代码” 在网络安全领域,XSS(Cross-Site Scripting)漏洞是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而控制用户与网站的交互。DOM型XSSXSS漏洞的一种类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值