龍影 (KIK)

    http://dldw.blog007.com

    QQ空间 日志 那里又出现一个XSS漏洞

    在发日志时选择 html 格式 然后直接写入代码就可以比如：

    ">>

XSS

    大家可以看出这个代码 执行后出现的是滚动形式的 也就是说 发表日志后 XSS 会从右边滚动到左边

    除了这段代码意外 其他可执行的代码都被腾讯转换成网站地址的形式

    比如 我们在里边插入 "/> 或者    

    然后点发表 会弹出提示窗口 只要发表成功 然后在浏览日志就不会运行代码了

    应为腾讯把 "/> 转换成

    到发表这篇文章的时候 我还没有找到合适的利用方法 只好先发表出来 希望各位朋友研究后 能给与指教

    或者哪位朋友可以把好的利用方法 写出来 分享一下 联系邮箱 lyhack8@163.com 在这里先谢谢了