来源:自学PHP网 时间:2015-04-16 23:15 作者: 阅读:次
[导读] 触发条件比较苛刻,但还是觉得应该提交一下先说一下字符集缺陷的问题 字符集[ISO-2022-KR]会把以 x0E;开头 x0F;结尾的一串字符看作是2 bytes也就是一个字符。换句话来说,它可以帮助我们...
|
触发条件比较苛刻,但还是觉得应该提交一下
先说一下字符集缺陷的问题.
字符集[ISO-2022-KR]会把以开头结尾的一串字符看作是2 bytes也就是一个字符。换句话来说,它可以帮助我们绕过一些Filter。暂时发现支持这个字符集的有Firefox,其它浏览器没做太细致的测试。 构造这样的邮件内容:
 当用户试图打印这个邮件(或者打印预览)并更改页面编码为ISO-2022-KR时即可触发。
我们可以加一些引导性的,类似于乱码的东西到邮件内容当中,引导用户去更改邮件编码为ISO-2022-KR,FF下显示棒子文99%应该都是会用这个字符集)。
经过用户的这一系列操作后,查看下源码可以看到 我们已经成功了:
<h1 a="♥ " onmouseover="alert('hehe');asd<a" target="_blank" href="123">asd</h1>
 修复方案:
也可以不修复,毕竟触发条件有点苛刻。
但是其它邮箱并没能发现同样的的问题。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
