网站首页  注册会员  本站免费电影 留言板  繁體中文

  

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络交流 >> 正文
 

   
专 题 栏 目
相 关 文 章

新版汉魅巨雷人:QQ+迅雷
聊天新方式:QQ邮箱将支
小心不请自来微软IE 7.0
小心你的QQ Mail出卖你
小心:400秒远程破解你的
技巧:QQ隐身与反隐身全
体验:QQ空间5.0新功能详
认识QQ新版新功能:QQ等
介绍:QQ客户管理系统的
新手必学:QQ游戏之火拼
 
小心:QQ的三个新严重漏洞           
小心:QQ的三个新严重漏洞
作者:陈鹏 文章来源:eNet 点击数: 更新时间:2009-9-13 1:14:58
 




 

1.QQ群跨站脚本漏洞   

  漏洞属性:输入验证错误   

  严重程度:高   

  QQ群简介对输入的字符缺少过滤,远程攻击者可以利用这个漏洞进行跨站脚本攻击,可以获取用户的敏感信息,如cookie信息。由于cookie信息中包含了用户登陆QQ网站时的身份验证加密串,通过获取加密串,可以完全控制帐户在网站上进行操作。   

  测试代码:   

  在QQ群简介(任何人可见那个)中输入.保存后点击本群首页。   

  下面是漏洞测试截图

  



  2.QQ群相册上传照片名过滤不严漏洞

  

  QQ群相册的上传照片功能对上传照片名称过滤不严,恶意用户可以通过上传带有特殊名称的照片,破坏相片显示页面代码,使得在此恶意相片之前上传的相片无法正常显示,并且造成该相册无法再上传其他照片。   

  测试方法:在相册内上传名称为的照片   

  3.QQ邮箱读取其他用户邮件漏洞   

  在以MINE方式读取QQ邮箱邮件时,通过修改mailid参数,可以读取其他用户的邮件。在输入任意非法id字符时,会随机暴出其他用户的邮件内容。由于暴露邮件内容完全没有规律可循,具体引起该漏洞的原因还不清楚。

  该漏洞已经向腾讯报告。修补完毕后第一时间公布引起漏洞的原因。


文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
    		 
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客