手机空间留言板表情采用[em]e100[/em](为笑脸表情)格式。可将恶意代码插入到[em]e100[xss][/em]进行攻击,盗取用户的身份验证信息并访问用户的空间。然后查看隐私相册等私密内容。 漏洞 证明: 其他不再做详细证明。恶意代码可随意构造。 作者:Valo洛洛 在建立微博名单时,向description字段注入JS并保存为所有人可见,当任何人查看建立的该名单页面时,XSS被触发执行! POC效果如下图: 漏洞证明: 修复方案: You know. 作者:WebSPRing
查看更多关于腾讯qq手机空间及微薄的xss - 网站安全 - 自学ph的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did12261