QQ微博跨站漏洞

date 2010年09月05日 | category 学习笔记| 坏人咖啡

作者:曹同学

下午和曹同学聊了下这个问题,帮他扩展了下思路,晚上又证明了下,虽然可行但是太鸡肋了,利用起来有点蛋痛,好了废话不多说了看曹同学写的文章吧~~!

        qq微博主页有邀请功能,点击邀请就会列出所有的好友分组。当然是在你有种子的情况,负责不会列出分组信息。

       好友组名没有过滤类似<iframe src=baidu.com    <img src=baidu.com   <body onload=alert(3)>的代码,所以在点邀请的时候就会发生跨站。(我感觉是搬起石头砸了自己脚…)

危害:几乎没有

 


各位研究的大牛可以用TX的微博广播把你的地址变短。(坏人咖啡提示)
这个地方没有script提交,即使钓鱼前景也不是很好…

所属分类: 学习笔记
Tags: , , ,


没有评论

暂无评论

RSS feed for comments on this post.

对不起,该文章的评论被关闭了!