安全研究
安全漏洞
Hotmail Javascript安全漏洞
发布日期:2000-01-04
更新日期:2000-01-05
受影响系统:Internet Explorer 5.x (4.x)
Netscape Communicator 4.x
描述:
如果在email的内容中使用<IMG LOWSRC="javascript:...">或<IMG DYNRC="javascript:....">,Hotmail将会执行其中的JavaScript代码,这可能使用户的Hotmail邮箱被侵入。
DYNRC方式对Internet Explorer 5.x (4.x也有可能) 有效,LOWSRC方式对Internet Explorer 5.x (4.x也有可能) 和Netscape Communicator 4.x都有效。
虽然Hotmail因安全原因而试图过滤"javascript",但当使用 <IMG LOWSRC="javascript:alert('Javascript is executed')"> 或 <IMG DYNSRC="javascript:alert('Javascript is executed')"> 这类格式时,只要用户打开了图像自动显示功能,其中的javascript脚本就会执行。从而引发安全问题。
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
在Hotmail邮件内容中嵌入如下格式的Javascript,并打开显示图像功能和Javascript功能。
<IMG LOWSRC="javascript:alert('Javascript is executed')">
或<IMG DYNSRC="javascript:alert('Javascript is executed')">
建议:
1、禁止Javascript功能。
2、根据Microsoft公司安全公告,所有Hotmail服务器上的LOWRC漏洞已得到修补。
浏览次数:6963
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |