最新消息:点击查看大S的省钱秘笈

IE浏览器之txt文件解析漏洞

网络相关 Slyar 97浏览 0评论

文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。

今天一搞安全的哥们给我发来一条URL链接,是一个txt文件。我心说txt文件应该不会有啥问题吧,于是乎我就点了,结果也确实没啥问题,因为俺用的是Firefox浏览器,不过那个txt文件的内容却让我产生了一丝疑问...

我照着那个txt文件的格式重点自己写了一段代码:

将其命名为lovejoan.txt上传到自己的空间,然后用IE打开,结果...

IE文件解析漏洞

乖乖,IE真的把这个txt文件当成html来解析了,这么说来即便是txt文件也可以挂马了?!如果把iframe的大小改成0,谁会去注意一个txt文档是不是危险啊...

后来发现问题所在,只要txt文档里含有"<script>",IE就会将其当做html文件来解释执行...垃圾IE,还好我用Firefox...

转载请注明:Slyar Home » IE浏览器之txt文件解析漏洞

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (8)

  1. @ 你又错了...凡是应该禁止又没有禁止,但又会造成危害的东西,通常意义上讲都叫漏洞...
    Slyar6年前 (2010-08-29)回复
  2. 应该不是漏洞,因为服务端的扩展名不一定要按照我们平时的规范,或者确切的说服务端的扩展名只和服务处理流程有关,比如MVC等,所以是大家理解错了一定要把扩展名理解成为普通意义上的扩展名
    匿名6年前 (2010-08-29)回复
  3. jpg也成的……IE欺骗.。很久了
    xsser7年前 (2010-02-07)回复
  4. 学习了!
    Blinux7年前 (2009-07-23)回复
  5. 这东西我还真第一次听说。。。。ie也真不负责任啊。。还好我是ff饭。。
    Leo.N7年前 (2009-07-20)回复
  6. 不错,博主对这东西看来很感兴趣。。
    zhiwei7年前 (2009-07-20)回复
  7. 恩,不用IE好多年了,远离漏洞。
    午夜7年前 (2009-07-19)回复
  8. 这个漏洞早就发现了,脱离ie,得永生啊
    bolo7年前 (2009-07-19)回复