Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3160384
  • 博文数量: 797
  • 博客积分: 10134
  • 博客等级: 上将
  • 技术积分: 9335
  • 用 户 组: 普通用户
  • 注册时间: 2006-06-22 22:57
个人简介

1

文章分类

全部博文(797)

文章存档

2022年(1)

2021年(2)

2017年(2)

2016年(1)

2015年(4)

2014年(1)

2013年(6)

2012年(6)

2011年(10)

2010年(26)

2009年(63)

2008年(61)

2007年(51)

2006年(563)

我的朋友

分类: WINDOWS

2007-06-08 17:03:27

来源:hackest's blog
作者:hackest&雕牌 [H.S.T]

此文章已发表在《黑客X档案》第6期杂志上
后经本文作者hackest提交到作者博客
欢迎大家转载,但请务必要记住注明此信息!

一、起因

其实小雕以前发现过QQ邮箱的跨站问题,不过那个是只能跨群邮件,跨不了普通个人邮件的。于是小雕继续研究,终于有了突破性进展!这一次跨得貌似厉害了点,嘿嘿。126、21cn、sina、tom、sohu、163、QQ这些大学常用的邮箱都存在跨站问题!经测试已经全部成功了,嘿嘿。不过 yahoo、hotmail这几个没有跨出来,鉴于技术和时间都有限,就说说已发现并测试成功的这些吧。貌似也是具有"中国特色"的邮箱跨站哦!

二、跨站测试

1、126邮箱

首先,我们去申请一个126的免费邮箱。这里我们的测试方式是自己给自己发邮件。登录邮箱,收件人填自己的邮箱地址,主题随便。要注意的是要勾选上"编辑源码"!然后在邮件内容处填上测试代码:
如图1

接着发送邮件。提示发送成功了,然后我们接收邮件。看到有一封标题为"test"的邮件,打开就可以看到测试效果了了,如图2

至于如何分析和测试的就不说了,只简单的介绍下测试的结果,呵呵。

2、21cn邮箱

当然也是要注册一个邮箱先了,还有自发自收的方法。登录进去,风格设为"左右"那个,然后"写信","插入图片",在弹出的框里填上测试代码:
" DYNSRC="javascript:alert('')"
格式如图3

点击"确定"后发送邮件。再到收件箱接收邮件,打开刚发的邮件就可以看到成功跨出来了,如图4


3、新浪邮箱

注册,登录,然后"写邮件"。收件人还是自己,主题随便。然后插入图片,填上测试代码:
" DYNSRC="javascript:alert('')"
这个利用代码和21cn的一样,如图5

确定后就弹出来了,呵呵。接着发送邮件,再接收,打开邮件就可以看到效果了,如图6

4、tom邮箱

注册,登录,写邮件。收件人自己的邮箱,主题随便。然后点击"编辑HTML信件",如图7

再勾选上"编辑源码",然后在邮件内容里面填上测试代码:
这个和126邮箱的测试代码一样,呵呵。填好后的格式如图8

然后发送邮件,再自己接收并打开就可以看到效果了,如图9


5、sohu邮箱

本来sohu我以为跨不出来的,后来小雕还是突破了,呵呵。sohu的和其他有点不同。在回复才能触发跨站,有点意思哦。还是注册,登录,然后给自己发信,直接把测试代码填到邮件内容里面: