阿峰博客 阿峰'S blog

  • 首页
  • 移动安全
    • Android安全
    • iOS安全
    • APP安全
  • 新闻资讯
    • IT新闻
    • 安全资讯
  • 信息安全
    • WEB安全
    • 系统安全
    • 终端安全
    • 安全工具
  • 建站优化
    • 网站优化
    • 网络营销
  • 资源共享
  • 关于博客
    • 申请友链
    • 在线投稿
不忘初心,砥砺前行。
  1. 首页
  2. 信息安全
  3. 正文

腾讯QQ邮箱反射型XSS漏洞

2013 年 3 月 7 日 3330点热度 0人点赞 0条评论

一、详细说明:貌似以前有人反映过了,出现在QQ邮箱正文超级链接编辑器中,属于反射型xss,很鸡肋。我只是看到TSRC平台推出了礼品兑换平台,来凑凑热闹。菜鸟级,希望能够鼓励一下~

二、漏洞证明:测试代码<iframe onload=alert(/qq/);> 在正文处输入任何文字,然后选中插入超链接,输入<iframe onload=alert(/qq/);> 点添加

添加后,触发xss。点击被链接的文字,可再次触发。

还没有结束,在不输入文字的情况添加超链接,在文字处构造iframe框架,<iframe src%3dhttp%3a//www.afeng.org/1.html>貌似不是很成功,但框架出来了。

不知道利用,也不会进一步构造。
虽然很鸡肋,没有利用价值,别等被利用才去修复...

三、修复方案:修复方案你们比我更懂...

标签: xss漏洞
最后更新:2013 年 3 月 7 日

阿峰

十年以上网络安全经验,目前专注金融行业网络安全,技术驱动金融创新,网络安全与金融科技同发展。

点赞
< 上一篇
下一篇 >

文章评论

取消回复

标签聚合
perl 网络安全 端口扫描 Wordpress 渗透测试 工具 关键字 xss漏洞
最新 热点 随机
最新 热点 随机
5G组网模式NSA和SA两种网络模式的区别是什么 XStream反序列化命令执行漏洞CVE-2021-21344等 4G手机卡与5G手机卡安全性区别 Immunity Canvas 7.26下载及安装教程 安卓批量搜索分析Java 类/对象结构脚本工具 MAC下在Genymotion模拟器中使用IDA动态调试android安卓应用
深夜出炉:httpoxy远程代理感染漏洞浅析 国产SQL注入漏洞测试工具 – 超级SQL注入工具(SSQLInjection) 利用XSS漏洞进行钓鱼的方法 最新文章收录不是很快 [转载]分析Discuz防注入函数绕过漏洞 安全手机卖疯了:Blackphone厂商Silent Circle获3000万美元投资
最近评论
发布于 2 年前(07月07日) 小哥,可以帮忙把我的友链修改为 https://feifanblog.com 么?谢谢啦~
发布于 3 年前(07月23日) top.document.body.innerHTML=""; 这个是1.js 还是xss ...
发布于 3 年前(11月22日) 看错了,还以为是你买的register.com呢。。。
发布于 4 年前(10月22日) 大佬 求sql 放正系统注入工具
发布于 4 年前(05月27日) 感觉还是非常复杂的呢。。。。

COPYRIGHT © 2021 阿峰博客 阿峰'S blog. ALL RIGHTS RESERVED.

本站发布的内容仅限于学习和研究,请勿用于非法渗透和攻击,否则一切后果请自负;遵守法律法规,做一个合格的安全从业者。