某电子邮件客户端软件本地XSS漏洞 – 网站安全

时间: 2020-10-11|tag: 14次围观|0 条评论

~某电子邮件客户端软件本地XSS漏洞~

DreamMail 是一款专业的电子邮件客户端软件,用于收发和管理电子邮件。它支持多用户,每个用户支持多个邮箱帐号;支持POP3、APOP、SMTP、eSMTP、SASL等认证模式,支持SSL加密传输,支持gmail、msn、live、hotmail、163、qq、263、sina等绝大多数的邮箱收发。

**漏洞原因:

该客户端软件接收邮件时默认按照HTML方式显示,通过测试存在本地xss漏洞;

1.采用任意邮箱发送邮件,内容为xss代码如:
 

<img src=# onerror='alert("XSS")'>

这里采用的是QQ邮箱发送:
 

某电子邮件客户端软件本地XSS漏洞 – 网站安全插图

2.使用dreammail客户端接收效果如下:
 

某电子邮件客户端软件本地XSS漏洞 – 网站安全插图1

 

 

某电子邮件客户端软件本地XSS漏洞 – 网站安全插图2

 

修复方案:

过滤~
    上一篇: PageAdmin任意文件删除+注册管理员 - 网站安全 - 自

    下一篇: 用友某系统任意文件读取 - 网站安全 - 自学php
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《某电子邮件客户端软件本地XSS漏洞 – 网站安全
   

还没有人抢沙发呢~