感觉腾讯在插入视频或者FLASH的时候,或许是个安全短板,就测试了下,果不其然......
先看看侧漏的:
之后就是构造了...
cookie:
校友的,一样:
GET/POST cookie:
把日志伪装一下,目测大部分人都会上当:
...
至于写入cookie直接上QQ邮箱,上IDQQ删好友,加好友,还有自己写的小XSS蠕虫,就不演示了... 一站式的缺陷
想提醒腾讯,每个有问题的地方,或许都能被扩大,就像一个伤口...不上药的话,总是会感染的......
插入FLASH或者视频,输入
http://"></script>alert('Hello Drizzle')//</sCript>
然后自己看吧...
修复方案:
腾讯你懂的....
查看更多关于腾讯QQ空间日志、校友日志存储型XSS - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14426