ICQ 可强制增加用户漏洞发布时间:2001-08-23 更新时间:2001-08-23 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 ICQ 200x* up to 2001a Alpha详细描述 当ICQ安装时候,它增加Content-Type到Microsoft Internet Explorer 为"application/x-icq",当IE从WEB上接受到"Content-Type: application/x-icq" 类型如下内容时候: [ICQ User] UIN=<uin> Email= NickName= FirstName= LastName= IE会自动下载内容和使ICQ增加UIN到用户列表。当用户浏览恶意站点的时候,会被自动增加。 测试代码 <HTML> <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://wwp.icq.com/scripts/search.dll?to=<uin>"> </HTML> 解决方案 尚无 相关信息 t-Omicr0n <tvb71@hotmail.com> |
