首页 -> 安全研究

安全研究

安全漏洞
Outblaze Web Email系统存在多个安全漏洞

发布日期:2000-02-24
更新日期:2000-02-24

受影响系统:
所有使用Outblaze Web Email系统的站点都可能受到影响
描述:
Outblaze的Web Email系统在用户等录进系统后,使用一个包含认证字符串的URL来进行其他
的操作,这将使用户的email帐号受到非法访问的威胁。任何发现这个字符串的人在等录过程
过期前都可能获得对此帐号的完全控制权,导致用户个人资料以及信件的泄露。
通过在e-mail内容中嵌入HTML标记(例如IMG SOURCE) ,当前的URL就可能通过HTTP_REFERRER
变量传递给攻击者所控制的web服务器,攻击者可以很容易地得到一个等录会话的认证字符串。
攻击者也可以在邮件标题中加入HTML标记,这样即使受害者没有阅读email内容,仍然会泄露认
证字符串。而且通过这种方法控制用户帐号的操作不会出现在Outblaze邮件系统登录历史记录
中,因为它绕开了通常的等录过程。

Outblaze邮件系统也没有过滤内嵌在邮件内容和标题中的Javascript语句,因此恶意攻击
者可能造成更大威胁。


<* 来源:  .sozni (sozni@USA.NET) *>

建议:
暂无,等候Outblaze改变其认证方式

浏览次数:9566
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障