• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    腾讯QQ空间日志、校友日志存储型XSS

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    感觉腾讯在插入视频或者FLASH的时候,或许是个安全短板,涛涛电脑知识网,就测试了下,果不其然......

     

    先看看侧漏的:

     

     

    之后就是构造了...

     

     

    cookie:

     

     

    校友的,一样:

     

     

     

    GET/POST cookie:

     

     

     

    把日志伪装一下,目测大部分人都会上当:

     

     

     

    ...

     

    至于写入cookie直接上QQ邮箱,上IDQQ删好友,加好友,还有自己写的小XSS蠕虫,就不演示了... 一站式的缺陷

     

    想提醒腾讯,每个有问题的地方,或许都能被扩大,就像一个伤口...不上药的话,涛涛电脑知识网,总是会感染的......

     

     

     

     

    插入FLASH或者视频,输入

     

    "></script>alert('Hello Drizzle')//</sCript>

     

     

    然后自己看吧...

    修复方案:

    腾讯你懂的....

  • 上一篇:ORACLE注入代码之我所见
  • 下一篇:十九楼某关键内部系统跨站伪造登陆框
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1