QQ邮箱残留XSS漏洞 - 网站安全

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] QQ邮箱在接收的时候很好地解决了文件名带JS的问题但是转发的时候虽然不太容易触发就是了漏洞发生地址：mail qq comQQ邮箱接收邮件后会保存附件到一个列表里而且文件名是带JS代码的也...

QQ邮箱在接收的时候很好地解决了文件名带JS的问题……但是转发的时候……虽然不太容易触发就是了

QQ邮箱接收邮件后会保存附件到一个列表里…而且文件名是带JS代码的也会保存下来（接收的时候不触发，所以用户不知道其风险）。那么，转发这个带JS代码的玩意时会不会触发呢？直接转发尝试后不行，但是…点击预览后再转，居然触发了……

先用苹果设备发送带有问题文件名的文件到邮箱里。

QQ截图20140807152009.png

打开邮箱，去附件收藏，点全部附件。这里我们看到一个喜闻乐见的文件，点击它的预览。

QQ截图20140807152020.png

再点这个图标转发。

QQ截图20140807152034.png

弹了，附件的图标明显也有问题了。

好好检查……

更多文章推荐