手机outlook刷新不出邮件_Outlook中的存储型XSS——网页版和安卓版均受影响

最新推荐文章于 2023-05-04 14:54:19 发布
最新推荐文章于 2023-05-04 14:54:19 发布
阅读量1.6k 收藏
点赞数
文章标签: 手机outlook刷新不出邮件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39625337/article/details/111385300
版权

大家好,这是我第一次写漏洞文章,也是我发现的第一个Outlook漏洞。

在很多网络消息服务中,例如Gmail、Outlook、Yahoo等,都允许接受并渲染电子邮件中的HTML内容(Content-Type: text/html),但同时也会进行安全限制,只允许A、H1、img等标签。

而当我测试Outlook中的安全过滤机制时,发现link标签并不会被过滤。这就让我有机可乘,成功引入了外部JS代码,实现了弹框。

复现步骤

  1. 进入网站https://emkei.cz/,这个网站的能直接设置发送的电子邮件的内容的类型。
  2. 随机往邮件主题、发件人和发件地址填入字符。
  3. 往收件人地址填入你需要测试的电子邮件地址。
  4. 将Content-Type设定为text/html。
  5. 邮件正文填入,点击提交。
  6. 登入收件电子邮箱,点击查看消息,payload就会成功执行!

以下为PoC视频地址:

https://youtu.be/khsLfQwy1ik
269a31d259f79a06d94a2b68c7364807.png
最低0.47元/天 解锁文章
weixin_39625337
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手机outlook刷新不出邮件_Outlook邮箱的使用和注册方法
weixin_39709674的博客
12-17 2936
最近有人问我如何注册一个Outlook的邮箱,其实我自己也是自己摸索过来的,不过这个只是个人经验,只供参考,若有不足,敬请谅解!1、首先,上网查找hotmail邮箱登录(如下图↓)2、点击官网,就出现以下界面,点击创建账户↓3、点击后,填写你想要的账户域名以及相关信息、密码等。4、很快就注册成功的啦!随后就能进入邮箱啦!可以按照我的提示去做,也可以自己摸索啦!很简单的啦!5、现在学一学怎么样使用M...
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
xxl-job有什么值得称赞的地方_为什么有人会不喜欢狮子座情感表现?
weixin_39781209的博客
11-14 134
为什么有人会不喜欢狮子座情感表现?1、狮子座是唯一一个霸道与温柔并存的星座,被狮子爱上感觉得到了全世界。2、狮子座不会和你耍心机,讨厌你就是讨厌喜欢就是喜欢,直来直去。对狮子好的人狮子一定会对他好,待人真诚,很容易心软,不记仇,很玩得开,喜欢一个人就会想把有的一切都给他。现实生活的小事也是这样,高高的堂叔到我家串门的时候,总会开着玩笑说:“长的太高了也别扭,到了谁家里都得低着头才能进去...
jenkins邮箱报错javax.mail.AuthenticationFailedException: 535 Login Fail. Please enter your authorization
hyy
10-12 778
报错信息 javax.mail.AuthenticationFailedException: 535 Login Fail. Please enter your authorization code to login. More information in http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=28&&no=1001256 打开QQ邮箱的帮助心: 首先我们打开邮箱的授权码那里,一定要发送邮件的那个
手机outlook刷新不出邮件_新 iPhone 将具有更快的面容识别速度/Outlook 推出 iOS 14 小组件/iPhone 12 系列或不支持高刷新率...
weixin_39952800的博客
12-06 1444
iPad 版 Chrome 浏览器即将迎来多窗口支持在 iPadOS 13 正式向公众推出多窗口功能一年多后,谷歌终于开始着手在 iPad 上的 Chrome 浏览器加入该功能支持。目前该功能已通过 TestFlight 为用户提供测试,在几周后的新大版本,所有用户应该都可以使用。iPadOS 的多窗口支持允许应用创建多个应用实例。然后,这些多个窗口可以与其他应用配对,以提高多任务...
手机outlook刷新不出邮件_网页端Outlook推Spaces功能:轻松整合邮件、会议和文档...
weixin_39630126的博客
11-22 658
Outlook已经是一款功能强大的电子邮件和日历应用程序,但微软希望能够让其变得更加实用。根据知名爆料人士Walking Cat近日分享的推文,微软正计划为网页端Outlook开发名为“Outlook Spaces”的新功能,能够将电子邮件,会议和文档组织到一个简洁的空间。目前这项新功能还处于开发状态,并没有向太多普通用户开放。该新功能仅限于Office365用户,而且Office 365个人或...
YXcms-含有存储XSS漏洞的源码包
03-17
存储XSSXSS攻击的一种类,这种漏洞通常发生在用户提交的数据被持久化存储在服务器上,并在后续请求未经适当过滤或转义就被显示出来,从而允许攻击者植入恶意脚本。 【描述解析】 描述的"亲测真实有效可用...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip",存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS)漏洞。这种漏洞允许...
XSS_Cheat_Sheet_2020_Edition:xss裂缝模糊测试payload的最佳集合2020版
03-19
XSS_Cheat_Sheet_2020_Edition简介白帽赏金平台xss突破模糊测试有效替代的最佳集合2020版该备忘清单可用于攻击猎人,安全分析,渗透测试人员,根据应用的实际情况,测试不同的有效载荷,并观察响应内容,查找网络...
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
第04篇:在线邮件伪造网站和临时邮件1
08-03
第三方邮件厂商:邮件黑名单查询测试你发出邮件的垃圾邮件匹配度在线发送邮件:临时邮箱。
手机outlook刷新不出邮件_聚焦iPhone:iOS 14支持第三方App成为默认邮件浏览器 微软成了首批支持者...
weixin_39965102的博客
12-17 1970
内容来源果汇君 编辑整理文|晓光苹果最新发布的iOS14系统,已经允许用户将第三方电子邮件或浏览器设置为默认App。以邮件为例,更换方法是,打开“设置”,在下方找到“Outlook”,然后选择“默认邮件App”,选择outlook即可 ;微软的Edge浏览器也可以如此操作,取代Safari成为系统默认浏览器。如何替换默认的邮件App在此前,iOS系统这两个功能只能用苹果自己的Safar...
【排错】 Outlook邮件正文显示空白问题的排错
大熊猫的博客
05-04 4696
如果想要验证是不是插件导致的网页版邮箱与Outlook客户端都显示空白正文的问题,您需要关闭Outlook客户端,仅使用网页版邮箱接收邮件,查看这种情况下收到的邮件是不是还是空白的。如果您收到的HTML和RTF格式的邮件也有此问题的话,检查字体的同时,在Outlook的“文件”选项卡>“选项”>“信任心”>“信任心设置”>“电子邮件安全”下,确保“以纯文本格式读取所有标准邮件”选项没有勾选。有可能是邮件在传输过程损坏了,也有可能是发送方那边起初发送的邮件就是有问题的,甚至可能就是发送的空白邮件
邮箱伪造之搭建匿名SMTP服务器
05-13 7916
电子邮件欺骗(email spoofing)的根本原因是SMTP协议是不需要身份验证的,攻击者可以利用这个特性伪造电子邮件头,从任意电子邮件地址发送任何人,导致信息看起来来源于某个人或某...
fake email
cnbird's blog
04-24 1847
http://emkei.cz/
网易邮箱CSRF漏洞
swordheart的博客
04-11 4854
漏洞详情 披露情况: 2010-07-07-07-01-2007 细节已通知 2010-08-18: 细节向公众公开 简要描述: 网易存在 CSRF 漏洞,成功攻击可能会给用户带来多种数据。 详细说明: 网易126邮箱存在RF漏洞,攻击者一个发给126的邮箱,在邮件需要用户嵌入一个自动攻击的图片,用户只要打开该邮件,就可以在邮箱设置只发送给用户的邮箱。 <img src="http://config.mail.126.com/autofw/fwto.do?forwarddes=mai
支付宝提示服务器有【危漏洞】任意邮件伪造检测
勤劳的执着的运维农民工
11-19 3850
​ 使用Bugscan检测到我自己的网站有这个漏洞后,我费了好一番功夫来查找资料,终于是解决了这个问题。在此把经验分享出来,主要觉得这方面文资料太少了。 ​ 检测到你的服务器存在邮件伪造的时候,你可能还在疑惑:这到底是什么东西?有什么危害?和我有什么关系? ​ 这里就不再细说邮件伪造的始末。遇到问题大家最关心的是解决方案。此处将主要围绕解决方案来说,文本旨在读者看后能得到一个正常运行的设置。 首先,如何验证邮件伪造? ​ 解决对邮件伪造的疑惑,这里有一个在线的测试网站:https://emke
钓鱼邮件从入门到放弃
热门推荐
tomyyyyy
12-06 1万+
目录钓鱼邮件从入门到放弃一、钓鱼邮件的基本概念1.1 钓鱼邮件的伪造方式1.1.1 购买域名搭建邮箱服务器1.1.2 伪造发件人1.2 三个邮件安全协议1.2.1 SPF1.2.2 DKIM1.2.3 DMARC1.3 钓鱼邮件的利用方式1.3.1 链接钓鱼邮件1.3.2 附件钓鱼邮件1.3.3 鱼叉式钓鱼邮件1.3.4 BEC钓鱼邮件1.3.5 二维码钓鱼邮件二、钓鱼环境的搭建2.1 网站克隆...
邮箱伪造详解
weixin_34345753的博客
07-16 1476
0x00 背景 邮箱伪造技术,可被用来做钓鱼攻击。 即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。 0x01 细节 SMTP协议,允许发件人伪造绝大多数的发件人特征信息。 这就导致了可以伪造别人发送邮件。 来看一下乌云上的案例: WooYun: ifeng exchange伪造源地址漏洞 WooYun: 腾讯邮箱...
存储xss和反射xss有哪些异同点
最新发布
05-12
存储XSS和反射XSS是两种常见的跨站脚本攻击,它们的主要异同点如下: 异同点: 1. 攻击方式:存储 XSS 和反射 XSS 都是通过在 Web 页面插入恶意脚本代码,来实现攻击的。 2. 攻击原理:存储 XSS 和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值