腾讯朋友网存储型XSS漏洞及修复方案 - 网站安全

简要描述：腾讯分享功能导致腾讯朋友网等多处存储型XSS 漏洞。分享功能链接：http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?url=，该功能中的Summary字段在朋友网显示前没有进行编码过滤等安全操作，导致存储型XSS漏洞。

详细说明：该存储型XSS有三处触发点：

第一处XSS触发点-[朋友网-首页]：http://home.pengyou.com/index.php?mod=home&adtag=top_home

第二处XSS触发点-[朋友网-用户主页]：http://profile.pengyou.com/index.php

第三处XSS触发点-[QQ空间-实名朋友]：http://user.qzone.qq.com/USERID

漏洞证明：

修复方案：上次刚报过一个，厂商懂的

作者WebSPRing

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did12753

更新时间：2022-09-13 阅读：64次