返回列表 下一主题 ›› ‹‹ 上一主题 回复 发帖

QQ最新漏洞:QQ2010SP1聊天记录能执行Html代码

QQ最新漏洞:QQ2010SP1聊天记录能执行Html代码

腾讯QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞。用户可以随意在消息中使用Javascript、Html,腾讯并没有对此进行有效的屏蔽,如此低级漏洞,在QQ这样的软件中出现实属罕见,可能是那天给骂糊涂了

  截止发稿之日起,腾讯还没有对此漏洞给出解决办法,首先囧一下:脚本出错还会提示错误


  1、消息记录的Javascript、Html标签没有屏蔽


  2、消息盒子Javascript、Html标签没有屏蔽


  3、小实验
  发送代码:<input />
  因为腾讯会自动将url转换,我们必须混淆url才能发送


  4、超牛代码
   <img src=’tetet’/>
  因为要点击才能触发,想到一个不用点击就能触发的代码。希望腾讯快点修复,本漏洞由TGL发现。

返回列表 下一主题 ›› ‹‹ 上一主题