记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

腾讯某网站存在Xss漏洞

2015-02-04 20:16

网页:http://oneday.qq.com/contribute 这个地方直接用QQ登录,网站可读取QQ昵称,并保证QQ昵称(之后QQ昵称改变,这个地方的数据不会变),虽然腾讯现在对QQ昵称进行了过滤和处理,但是在这个地方如果之前有登录过,那么Xss依然可运行(同时此处腾讯并未在昵称输出地方做Xss过滤)。此漏洞可以利用目前获取访客QQ系统。

以下是实例截图:

1.jpg





网页源码

2.jpg

漏洞证明:

网页:http://oneday.qq.com/contribute 这个地方直接用QQ登录,网站可读取QQ昵称,并保证QQ昵称(之后QQ昵称改变,这个地方的数据不会变),虽然腾讯现在对QQ昵称进行了过滤和处理,但是在这个地方如果之前有登录过,那么Xss依然可运行(同时此处腾讯并未在昵称输出地方做Xss过滤)。此漏洞可以利用目前获取访客QQ系统。

以下是实例截图:

1.jpg





网页源码

2.jpg

修复方案:

对网页http://oneday.qq.com/contribute中 昵称输出处进行Xss过滤即可!

知识来源: www.wooyun.org/bugs/wooyun-2015-095557

阅读:132602 | 评论:0 | 标签:xss 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯某网站存在Xss漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云