手机空间留言板表情采用[em]e100[/em](为笑脸表情)格式,
腾讯qq手机空间及微薄的xss
。可将恶意代码插入到[em]e100“xss”[/em]进行攻击,盗取用户的身份验证信息并访问用户的空间。然后查看隐私相册等私密内容。漏洞证明:
其他不再做详细证明,
电脑资料
《腾讯qq手机空间及微薄的xss》(https://www.unjs.com)。恶意代码可随意构造。作者:Valo洛洛
在建立微博名单时,向description字段注入JS并保存为所有人可见,当任何人查看建立的该名单页面时,XSS被触发执行! POC效果如下图:
漏洞证明:
修复方案:
You know.
作者:WebSPRing