一、貌似以前有人反映过了,出现在QQ邮箱正文超级链接编辑器中,属于反射型xss,很鸡肋。我只是看到TSRC平台推出了礼品兑换平台,来凑凑热闹。菜鸟级,希望能够鼓励一下~
二、测试代码 <iframe onload=alert(/qq/);> 在正文处输入任何文字,然后选中插入超链接,输入<iframe onload=alert(/qq/);> 点添加
添加后,触发xss。点击被链接的文字,可再次触发。
还没有结束,在不输入文字的情况添加超链接,在文字处构造iframe框架,<iframe src%3dhttp%3a//www.afeng.org/1. html >貌似不是很成功,但框架出来了。
不知道利用,也不会进一步构造。
虽然很鸡肋,没有利用价值,别等被利用才去修复…
三、修复方案: 修复方案你们比我更懂
查看更多关于腾讯QQ邮箱反射型XSS漏洞 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14063