腾讯QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞。
首先囧一下:脚本出错还会提示错误
1、消息记录的Javascript、Html标签没有屏蔽
2、消息盒子Javascript、Html标签没有屏蔽
3、小实验
发送代码:
因为腾讯会主动将url转换,我们必须混杂url才干发送
4、超牛代码
因为要点击才干触发,想到一个不用点击就能触发的代码。
5、盼望腾讯快点修复,这个漏洞非同小可
6、本漏洞由TGL发明。
如打算规避漏洞带来的风险,请下载SP0版本,看来SP1版本的changelog得修正为“更新了一些漏洞”。
相关阅读