一、详细说明:貌似以前有人反映过了,出现在QQ邮箱正文超级链接编辑器中,属于反射型xss,很鸡肋。我只是看到TSRC平台推出了礼品兑换平台,来凑凑热闹。菜鸟级,希望能够鼓励一下~
二、漏洞证明:测试代码<iframe onload=alert(/qq/);> 在正文处输入任何文字,然后选中插入超链接,输入<iframe onload=alert(/qq/);> 点添加
添加后,触发xss。点击被链接的文字,可再次触发。
还没有结束,在不输入文字的情况添加超链接,在文字处构造iframe框架,<iframe src%3dhttp%3a//www.afeng.org/1.html>貌似不是很成功,但框架出来了。
不知道利用,也不会进一步构造。
虽然很鸡肋,没有利用价值,别等被利用才去修复...
三、修复方案:修复方案你们比我更懂...
文章评论