腾讯QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞。
首先囧一下:脚本出错还会提示错误
1、消息记录的Javascript、Html标签没有屏蔽
2、消息盒子Javascript、Html标签没有屏蔽
3、小实验
发送代码:
因为腾讯会自动将url转换,我们必须混淆url才能发送
4、超牛代码
因为要点击才能触发,想到一个不用点击就能触发的代码。
5、希望腾讯快点修复,这个漏洞非同小可
6、本漏洞由TGL发现。
如打算规避漏洞带来的风险,请下载SP0版本,看来SP1版本的changelog得修改为“更新了一些漏洞”。
【编辑推荐】
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/125205.html<
物联网已不再是一个遥不可及的梦想,而且客观情况是我们的现实世界已经准备好运用它的各项最新成果了。在这些成果中,最受欢迎的特性包括:高效的机(器)对机(器)(Machine to M…
【.com综合消息】2月25日,江民科技宣布,对现有部分渠道产品服务期限进行调整。将原有江民杀毒软件KV2009两年免费服务期限版本,改为三年免费服务期限,用户只需花原来两年版本的…
多年来,美国联邦政府一直对其强力手机监控技术——“魔鬼鱼”(Stingray)的使用保持沉默。美国司法部和各地方执法机关坚称此举是为了防止嫌疑人发现这些设备的运行机制而找出对抗的方…
如果在网络上要实名注册才能发表言论,那谁还会自由自在地在各种“坛子”里游荡?谁还敢说真话?”这是网民们对于网络实名制的最直接的反应,也反应了人们对于网络实名制的担忧。诸多争议认为,…
本届亚运会和亚残运会是近年来亚洲体育史上规模最大的一次体育盛事,全面展示了广州乃至中国新的风貌和综合国力的提高。在这一目标实现的背后,保证亚运会和亚残运会各个环节协调一致、高效运作…
