作者:x140cc
听许多人说WINRAR自解压格式的文件在安装界面上可以跨站,笔者亲自测试了一下,这个不能单单说是跨站了,本来还以为是个新出的漏洞呢,原来是WINRAR的本身缺陷,在其界面上可以支持任何HTML代码。详细的,我们看下文。
首先创建一个自解压格式的文件,来到下图的界面。
图1
然后切换到“高级”这个选项卡。我们看到个“自解压选项”,
图2
点击“自解压选项”来到如下图所示。
我们在“自解压文件窗口中显示的文本”下面输入最简单的跨站测试代码
点击确定创建文件就可以了。
然后我们打开刚才创建的文件,看到了如下的结果。图4
弹出了跨站提示。我们把跨站代码换成
详解WINRAR的自解压跨站攻击漏洞(转贴38)
(4)个小伙伴在吐槽
- 发个连接还敏感信息了 晕死! 还有吧我拉进城群里吧 我有好多问题我都需要群里的朋友帮忙解决!哎!
- 刀哥 挂个友情吧 你博客文章都不错!
- 这个很强大 转了哦 谢谢
- 真的很绝~~·