|
|
今天一搞安全的哥们给我发来一条URL链接,是一个txt文件。我心说txt文件应该不会有啥问题吧,于是乎我就点了,结果也确实没啥问题,因为俺用的是Firefox浏览器,不过那个txt文件的内容却让我产生了一丝疑问...
我照着那个txt文件的格式重点自己写了一段代码:
- <script></script><iframe src=//www.chenyu.me width=350 height=200 border=0></iframe>
复制代码
将其命名为ok.txt上传到自己的空间,然后用IE打开,结果...
乖乖,IE真的把这个txt文件当成html来解析了,这么说来即便是txt文件也可以挂马了?!如果把iframe的大小改成0,谁会去注意一个txt文档是不是危险啊...
后来发现问题所在,只要txt文档里含有"<script>",IE就会将其当做html文件来解释执行...Firefox没事... |
|