发布日期：2000-02-24
更新日期：2000-02-24

受影响系统：

所有使用Outblaze Web Email系统的站点都可能受到影响

描述：

---

Outblaze的Web Email系统在用户等录进系统后，使用一个包含认证字符串的URL来进行其他
的操作，这将使用户的email帐号受到非法访问的威胁。任何发现这个字符串的人在等录过程
过期前都可能获得对此帐号的完全控制权，导致用户个人资料以及信件的泄露。
通过在e-mail内容中嵌入HTML标记（例如IMG SOURCE) ，当前的URL就可能通过HTTP_REFERRER
变量传递给攻击者所控制的web服务器，攻击者可以很容易地得到一个等录会话的认证字符串。
攻击者也可以在邮件标题中加入HTML标记，这样即使受害者没有阅读email内容，仍然会泄露认
证字符串。而且通过这种方法控制用户帐号的操作不会出现在Outblaze邮件系统登录历史记录
中，因为它绕开了通常的等录过程。

Outblaze邮件系统也没有过滤内嵌在邮件内容和标题中的Javascript语句，因此恶意攻击
者可能造成更大威胁。


<* 来源:  .sozni (sozni@USA.NET) *>

建议：

---

暂无,等候Outblaze改变其认证方式

浏览次数：9556
严重程度：0（网友投票）