找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 3334|回复: 0

[安全] IE浏览器之txt文件解析漏洞

[复制链接]
Seven 发表于 2010-7-14 14:13:30 | 显示全部楼层 |阅读模式
今天一搞安全的哥们给我发来一条URL链接,是一个txt文件。我心说txt文件应该不会有啥问题吧,于是乎我就点了,结果也确实没啥问题,因为俺用的是Firefox浏览器,不过那个txt文件的内容却让我产生了一丝疑问...

我照着那个txt文件的格式重点自己写了一段代码:
  1. <script></script><iframe src=//www.chenyu.me width=350 height=200 border=0></iframe>
复制代码


将其命名为ok.txt上传到自己的空间,然后用IE打开,结果...
ok.jpg

乖乖,IE真的把这个txt文件当成html来解析了,这么说来即便是txt文件也可以挂马了?!如果把iframe的大小改成0,谁会去注意一个txt文档是不是危险啊...

后来发现问题所在,只要txt文档里含有"<script>",IE就会将其当做html文件来解释执行...Firefox没事...
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表