发布日期：2000-01-07
更新日期：2000-01-07

受影响系统：

Internet Explorer 5.x (4.x)

描述：

---

来源：Georgi Guninski
      <http://www.nat.bg/~joro>

    如果在email的内容中使用"@import url(javascript:...)"，Hotmail将会执行其中的JavaScript代码，这可能使用户的Hotmail邮箱被侵入。
    "@import url(javascript:...)"只对Internet Explorer有效。
    虽然Hotmail因安全原因而试图过滤"javascript"，但当使用 "@import url(javascript:...)" 这类格式时，只要用户打开电子邮件，其中的javascript脚本就会执行。从而引发安全问题。





测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

    在Hotmail邮件内容中嵌入如下格式的Javascript:

    <style TYPE="text/css">
    @import url(javascript:alert('Javascript is executed'));
    </style>




建议：

---

    禁止Javascript功能。
    



浏览次数：6630
严重程度：0（网友投票）