记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

腾讯企业邮箱邮件正文存储型XSS一枚需过滤

2016-03-11 22:05

腾讯企业邮箱存储型XSS

http://exmail.qq.com

为避免使用其他邮箱发送时被和谐,自己做了个SMTP发信端发送邮件到exmail,exmail收到邮件后未对收到的字符做任何过滤,直接执行.
 

http://pic1.hackdig.com/pp/091a4f8d04559153c8850e6fe15faf7d.jpg.jpg


 

2.jpg



部分测试代码:
 


$mailtitle = $_POST['title'];//邮件主题
$mailcontent = "
".$_POST['content']."
";//邮件内容
$mailtype = "HTML";//邮件格式(HTML/TXT),TXT为文本邮件
//************************ 配置信息 ****************************
$smtp = new smtp($smtpserver,$smtpserverport,true,$smtpuser,$smtppass);//这里面的一个true是表示使用身份验证,否则不使用身份验证.
$smtp->debug = false;//是否显示发送的调试信息
$state = $smtp->sendmail($smtpemailto, $smtpusermail, $mailtitle, $mailcontent, $mailtype);

 

 

邮箱XSS3.jpg


 

邮箱XSS.jpg


 

邮箱XSS2.jpg


 

解决方案:

过滤


知识来源: www.2cto.com/Article/201603/493114.html

阅读:233735 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯企业邮箱邮件正文存储型XSS一枚需过滤”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云