QQ邮箱残留XSS漏洞 – 网站安全

QQ邮箱在接收的时候很好地解决了文件名带JS的问题……但是转发的时候……虽然不太容易触发就是了

QQ邮箱接收邮件后会保存附件到一个列表里…而且文件名是带JS代码的也会保存下来（接收的时候不触发，所以用户不知道其风险）。那么，转发这个带JS代码的玩意时会不会触发呢？直接转发尝试后不行，但是…点击预览后再转，居然触发了……

先用苹果设备发送带有问题文件名的文件到邮箱里。

QQ邮箱残留XSS漏洞 – 网站安全 – 自学php插图

打开邮箱，去附件收藏，点全部附件。这里我们看到一个喜闻乐见的文件，点击它的预览。

QQ邮箱残留XSS漏洞 – 网站安全 – 自学php插图1

再点这个图标转发。

QQ邮箱残留XSS漏洞 – 网站安全 – 自学php插图2

弹了，附件的图标明显也有问题了。

好好检查……

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《QQ邮箱残留XSS漏洞 – 网站安全 – 自学php》