小漏洞,大危害之QQ空间暴出跨站漏洞
说明:以下都以123456的空间为例子。测试的时候是自己空间地址测试的。进入后不小心在music_playlist后面打了一个字母按下了回车,QQ页面重新加载,返回如下页面(图1):
 |
图1
出现404—NOT FOUND
说明这个页面不存在,但是背景还在,说明这似乎是一个框架结构的页面。测试下,把URL=后面的music_playlist换成baidu.com看看。http://123456.qzone.qq.com/?url=music_playlist仍然返回上面的页面,猜想URL=后面的应该是一个文件路径,如果路径不存在加上了baidu.com无异于music_playlist的后面刚才多加了一个字母。那接下来把baidu.com换成http://baidu.com。不想看到的结果出现了,如下(图2):
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻