简要描述:
腾讯分享功能导致腾讯朋友网等多处存储型XSS漏洞。分享功能链接:http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?url=,该功能中的Summary字段在朋友网显示前没有进行编码过滤等安全操作,导致存储型XSS漏洞。
详细说明:
该存储型XSS有三处触发点:
第一处XSS触发点-“朋友网-首页”:http://home.pengyou.com/index.php?mod=home&adtag=top_home
第二处XSS触发点-“朋友网-用户主页”:http://profile.pengyou.com/index.php
第三处XSS触发点-“QQ空间-实名朋友”:http://user.qzone.qq.com/USERID
0 条评论。