简要描述:
网易邮箱Flash附件可被利用以实施XSS攻击,可获取cookie,从而导致获取网易任意账号。
详细说明:
1、攻击者将以下as2脚本编译成swf.
url="javascript:alert(document.cookie)";
getURL(url);
2、用户上传swf作为附件发送给受害者,并引诱受害者打开。
3、受害者打开,弹出cookie.
PS:测试时请使用google浏览器(IE7不知道为什么不行)
漏洞 证明:
修复方案:
you knows
作者: x140m1ng
查看更多关于网易邮箱Flash附件可被利用以实施XSS攻击及修复方的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11247