首页 编程 软件学院 查看内容

QQ的几个严重漏洞

2004-12-25 15:25 915 0

摘要: 漏洞整理:炽天使  http://bbs.powers.com.cn/ 1.QQ群跨站脚本漏洞 漏洞属性:输入验证错误 严重程度:高 QQ群简介对输入的字符缺少过滤,远程攻击者可以利用这个漏洞...
关键词: 漏洞 用户 邮件 照片 输入 相册 不严 相片 测试 加密

漏洞整理:炽天使  http://bbs.powers.com.cn/ 1.QQ群跨站脚本漏洞 漏洞属性:输入验证错误 严重程度:高 QQ群简介对输入的字符缺少过滤,远程攻击者可以利用这个漏洞进行跨站脚本攻击,可以获取用户的敏感信息,如cookie信息。由于cookie信息中包含了用户登陆QQ网站时的身份验证加密串,通过获取加密串,可以完全控制帐户在网站上进行操作。 测试代码: 在QQ群简介(任何人可见那个)中输入<script>alert(document.cookie)</script>.保存后点击本群首页。 下面是漏洞测试截图 2.QQ群相册上传照片名过滤不严漏洞 QQ群相册的上传照片功能对上传照片名称过滤不严,恶意用户可以通过上传带有特殊名称的照片,破坏相片显示页面代码,使得在此恶意相片之前上传的相片无法正常显示,并且造成该相册无法再上传其他照片。 测试方法:在相册内上传名称为<script>123</script>的照片 3.QQ邮箱读取其他用户邮件漏洞 在以MINE方式读取QQ邮箱邮件时,通过修改mailid参数,可以读取其他用户的邮件。在输入任意非法id字符时,会随机暴出其他用户的邮件内容。由于暴露邮件内容完全没有规律可循,具体引起该漏洞的原因还不清楚。 该漏洞已经向腾讯报告。修补完毕后第一时间公布引起漏洞的原因。
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部