1.QQ群跨站脚本漏洞
漏洞属性:输入验证
严重程度:高
QQ群介绍对输入
缺少过滤
远程攻击者可以利用这个漏洞进行跨站脚本攻击可以获取用户敏感信息如cookie信息
由于cookie信息中包含了用户登陆QQ网站WebSite时身份验证加密串通过获取加密串可以完全控制帐户在网站WebSite上进行操作测试代码:
在QQ群介绍(任何人可见那个)中输入<script>alert(document.cookie)</script>.保存后点击本群首页
下面是漏洞测试截图
2.QQ群相册上传照片名过滤不严漏洞
QQ群相册
上传照片功能对上传照片名称过滤不严恶意用户可以通过上传带有特殊名称照片破坏相片显示页面代码使得在此恶意相片的前上传相片无法正常显示并且造成该相册无法再上传其他照片测试思路方法:在相册内上传名称为<script>123</script>
照片3.QQ邮箱读取其他用户邮件漏洞
在以MINE方式读取QQ邮箱邮件时
通过修改mailid参数可以读取其他用户邮件在输入任意非法id时会随机暴出其他用户邮件内容由于暴露邮件内容完全没有规律可循具体引起该漏洞原因还不清楚该漏洞已经向腾讯报告
修补完毕后第
时间公布引起漏洞原因
最新评论