听许多人说WINRAR自解压格式文件在安装界面上可以跨站笔者亲自测试了下这个不能单单说是跨站了本来还以为是个新出漏洞呢原来是WINRAR本身缺陷在其界面上可以支持任何HTML代码详细我们看下文
首先创建个自解压格式文件来到下图界面
图1
然后切换到“高级”这个选项卡我们看到个“自解压选项”
图2
点击“自解压选项”来到如下图所示
图3
我们在“自解压文件窗口中显示文本”下面输入最简单跨站测试代码<script>alert(“哈哈”)</script>点击确定创建文件就可以了
然后我们打开刚才创建文件看到了如下结果
图4
弹出了跨站提示
我们把跨站代码换成<rame 就更明显了
图5
最新评论