QQ空间XSS漏洞

昨天在某论坛看到的,那时看见的是个弹对话框,我试了下确实可以,但是当试弹窗的时候失败了,今天用编码的方法成功了。。。。方法很简单。。。拿一个垃圾QQ空间做演示。。。

先添加图文模块。。。在描述那里写入代码


这样访问空间主页的时候就会弹出这个对话框。。。

既然有这个漏洞,我就试着去弹窗,把百度的弄上去。。。保存后确实弹出了百度的,但是第二次访问的时候却不弹了。

去看了下描述,http:后面的被屏蔽掉了。。。。

昨天就弄到这里,也没去想别的办法了。。。。。。

今天早上想到了用编码的方法。。。。

成功了。。。。。
至于如何挂马,聪明的你不用我说了吧。。。。
续:如果你把你的空间挂上去,那么就会形成循环。。。。。。。后果就很严重。。。。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注