腾讯QQ空间跨站点漏洞及修复方案介绍（图）

评论：本文主要介绍了QQ空间分析中的跨站点漏洞以及如何修复

QQ空间有一个存储型跨站点
详细描述uff1a
QQ空间应用程序有一个可以重命名文件名的文件夹应用程序，在正常情况下，客户端过滤特殊字符。

但是特殊字符只能在客户端过滤，而不会在服务器端和输出端过滤，因此我们可以通过修改本地的帖子内容来绕过这个限制。

单击确定生成帖子
（截取POST数据修改POST内容）
name值被更改为
回到QQ空间的文件夹，您可以看到文件已经成功改名了，>挡住了titile标签。

虽然这里没有显示警报，但您可以看到标签已经处于运行状态。
在JSON脚本中由JSON执行人员打开
如果有人通过腾讯然后修改其它XSS获取访问QQ空间，这可能对受害者的长期影响。

修复方案：

抓住漂亮的姐妹纸并过滤它。

啤酒作者{