腾讯QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞。
首先囧一下:脚本出错还会提示错误
1、消息记录的Javascript、Html标签没有屏蔽
2、消息盒子Javascript、Html标签没有屏蔽
3、小实验
发送代码:
因为腾讯会自动将url转换,我们必须混淆url才能发送
4、超牛代码
因为要点击才能触发,想到一个不用点击就能触发的代码。
5、希望腾讯快点修复,这个漏洞非同小可
6、本漏洞由TGL发现。
如打算规避漏洞带来的风险,请下载SP0版本,看来SP1版本的changelog得修改为“更新了一些漏洞”。
转载请注明:IT运维空间 » 安全防护 » 最新版腾讯QQ2010SP1出现严重漏洞
你可能喜欢:
-
解决MySql版本问题sql_mode=only_full_group_by
-
Python操作mysql数据库出现pymysql.err.ProgrammingError: (1064, “You have an error in your SQL syntax; check
-
Oracle PL/SQL如何动态调用存储过程 收藏
-
Mysql 不存在则插入,存在则更新 mysql 存在该记录则更新,不存在则插入记录的sql
-
MySQL与Oracle之间互相拷贝数据的Java程序
-
MySQL导入sql文件的三种方法小结
-
MS sql server和mysql中update多条数据的例子
-
mysql防SQL注入搜集
-
Oracle:SQL语句–给用户赋权限
-
如何在MySql中记录SQL日志(例如Sql Server Profiler)
继续浏览有关 安全 的文章
发表评论