第一步先构造种子,修改种子内部名字为: Electro Arms -Reali" onmou seo ver="alert('xss') 由于这里对尖括号有一定限制,所以只能像上面一样构造。 另外,种子内的资源名字对尖括号和引号等有限制,那边无法构造。 给个修改后的种子信息:
只改了名称。 接下来登陆qq旋风离线空间,上传种子,弹出选择资源的窗口,同时弹出xss。
修补方案: 腾讯的安全部门也放暑假的吗?怎么不请几个员工值班啊,最多发点奖金给他们安抚一下啊
查看更多关于QQ旋风离线空间可通过钓鱼执行XSS - 网站安全 -的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15375