关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

腾讯QQ邮箱反射型XSS漏洞

 feng  813 ℃  0条点评

一、详细说明:貌似以前有人反映过了,出现在QQ邮箱正文超级链接编辑器中,属于反射型xss,很鸡肋。我只是看到TSRC平台推出了礼品兑换平台,来凑凑热闹。菜鸟级,希望能够鼓励一下~

二、漏洞证明:测试代码<iframe onload=alert(/qq/);> 在正文处输入任何文字,然后选中插入超链接,输入<iframe onload=alert(/qq/);> 点添加

添加后,触发xss。点击被链接的文字,可再次触发。

还没有结束,在不输入文字的情况添加超链接,在文字处构造iframe框架,<iframe src%3dhttp%3a//www.afeng.org/1.html>貌似不是很成功,但框架出来了。

不知道利用,也不会进一步构造。
虽然很鸡肋,没有利用价值,别等被利用才去修复...

三、修复方案:修复方案你们比我更懂...

本文标签:
iOS7越狱漏洞可值50万美元,你怎么看?
List of hacking sites
BruteXSS:XSS暴力破解神器BruteXSS:XSS暴力破解神器如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞避免及防范XSS注入漏洞之CSP避免及防范XSS注入漏洞之CSPJoy:一款用于捕获和分析网络内部流量数据的工具Joy:一款用于捕获和分析网络内部流量数据的工具

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码