记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

QQ邮箱储存型XSS(主要是提供一种思路)

2014-08-01 21:05

英文版的qq邮箱,附件夹可以编辑附件名字,但是过滤了xss。



1111111111111.png





然而,中文版qq邮箱的附件夹,虽然不能修改附件名字,但是却没有过滤XSS代码。



所以,从英文版输入,中文版输出,导致XSS。



222222222222.png







就是分享以下这种思维方法,类似的还有wap输入,web输出。



以及pc、web、app等之间的数据同步,但是输入输出设计和过滤不一致,从而产生XSS的情况。

漏洞证明:

看上面

修复方案:

没啥影响,可以忽略

知识来源: www.wooyun.org/bugs/wooyun-2014-070423

阅读:208910 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“QQ邮箱储存型XSS(主要是提供一种思路)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云