网站地图    收藏   

主页 > 后端 > 网站安全 >

腾讯QQ空间日志、校友日志存储型XSS - 网站安全

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 感觉腾讯在插入视频或者FLASH的时候,或许是个安全短板,就测试了下,果不其然......先看看侧漏的:之后就是构造了...cookie:校友的,一样:GET/POST cookie:把日志伪装一下,目测大部分人...

感觉腾讯在插入视频或者FLASH的时候,或许是个安全短板,就测试了下,果不其然......
 
先看看侧漏的:
 
 
之后就是构造了...
 
 
cookie:
 
 
校友的,一样:
 
 
 
GET/POST cookie:
 
 
 
把日志伪装一下,目测大部分人都会上当:
 
 
 
...
 
至于写入cookie直接上QQ邮箱,上IDQQ删好友,加好友,还有自己写的小XSS蠕虫,就不演示了... 一站式的缺陷
 
想提醒腾讯,每个有问题的地方,或许都能被扩大,就像一个伤口...不上药的话,总是会感染的......
 
 
 
 
插入FLASH或者视频,输入
 
http://"></script>alert('Hello Drizzle')//</sCript>
 
 
然后自己看吧...
修复方案:
腾讯你懂的....

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论