【safe86专稿】听许多人说WINRAR自解压格式的文件在安装界面上可以跨站，笔者亲自测试了一下，这个不能单单说是跨站了，本来还以为是个新出的漏洞呢，原来是WINRAR的本身缺陷，在其界面上可以支持任何HTML代码。详细的，我们看下文。

    首先创建一个自解压格式的文件，来到下图的界面。

    然后切换到“高级”这个选项卡。我们看到个“自解压选项”，

   点击“自解压选项”

    我们在“自解压文件窗口中显示的文本”下面输入最简单的跨站测试代码<script>alert(“哈哈”)</script>，点击确定创建文件就可以了。

    然后我们打开刚才创建的文件，

   弹出了跨站提示。

    我们把跨站代码换成<iframe 就更明显了。

    看来，WINRAR自解压不仅可以按照捆绑的方式夹带传播木马，利用这种方式也可以跨站挂马。有些有安全意识的人，一般先用WINRAR打开自解压格式文件。
     但是会忽略在文本和图标的选型卡内容里是否存在恶意代码。但是这样的恶意代码也有缺陷，用WINRAR打开的时候直接会在右面看到代码。对于有一点经验的人来说很容易识别。

    可是利用者可以增强迷惑性，在里面添加大量的文字，然后中间插入一段这样的代码。用户也是很难看出的。另外还有一种方式可能被利用者使用。就是让WINRAR无法打开自解压文件。可以在自解压格式文件上加壳。这样WINRAR就无法打开自解压格式文件了。但是加壳的容易出错。还可以修改自解压的特征，让WINRAR不能识别。对于这样的利用方式更别说看到里面的注释命令是什么了。对于修改自解压文件本身，有如下的修改方式：