文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。
今天一搞安全的哥们给我发来一条URL链接,是一个txt文件。我心说txt文件应该不会有啥问题吧,于是乎我就点了,结果也确实没啥问题,因为俺用的是Firefox浏览器,不过那个txt文件的内容却让我产生了一丝疑问…
我照着那个txt文件的格式重点自己写了一段代码:
1 2 |
<script></script> <iframe src=//www.slyar.com width=350 height=200 border=0></iframe> |
将其命名为lovejoan.txt上传到自己的空间,然后用IE打开,结果…
乖乖,IE真的把这个txt文件当成html来解析了,这么说来即便是txt文件也可以挂马了?!如果把iframe的大小改成0,谁会去注意一个txt文档是不是危险啊…
后来发现问题所在,只要txt文档里含有”<script>”,IE就会将其当做html文件来解释执行…垃圾IE,还好我用Firefox…
转载请注明:Slyar Home » IE浏览器之txt文件解析漏洞