前2天在一个讨论组看到有人讨论国内邮箱系统的XSS过滤能力的问题,有人反映163的Web Mail可以写js代码到邮件中,并且网易XSS的过滤能力比较弱,于是自己简单测试了几个小代码,发现163果然没能阻止我写js代码到邮件中。
既然163作为国内最大的邮件服务提供商都是这样,那其他几大门户呢?新浪的邮箱我没有ID,手上可用的也就只有sohu的了,于是用163的邮箱给sohu发信,发的同样的测试代码。Bingo!居然都可以触发代码的执行!
哎,不说什么了。
值得一提的是,yahoo.cn和gmail的xss过滤还是很好,很强大的,试了一长串的Test Code,都没有成功。虽然没有测试新浪,但是直觉告诉我,估计不会比163、sohu好到哪儿去,有时间再折腾他们吧。
嗯,POC代码其实很简单,发其中一个吧,至于怎么写到邮件里去,以及怎么验证和进一步的利用就不多写了,避免被滥用了,呵呵。
<img src="javascript:alert('Web Mail is XSSED!');"> |