[HTML]1. _ posts.asp?TID=472&PN=1" target= _ self> QQ 群跨站脚本 漏洞 漏洞 属性:输入验证错误严重程度:高 QQ 群简介对输入的字符缺少过滤,远程 攻击 者可以利用这个 漏洞 进行跨站脚本 攻击 ,可以获取用户的敏感信息,如cookie信息。由于cookie信息中包含了用户登陆 QQ 网站时的身份验证加密串,通过获取加密串,可以完全控制帐户在网站上进行操作。测试 代码 :在 QQ 群简介(任何人可见那个)中输入
1<script>alert(document.cookie)</script>
.保存后点击本群首页。下面是 漏洞 测试截图 
2. QQ 群相册上传照片名过滤不严 漏洞 QQ 群相册的上传照片功能对上传照片名称过滤不严,恶意用户可以通过上传带有特殊名称的照片,破坏相片显示页面 代码 ,使得在此恶意相片之前上传的相片无法正常显示,并且造成该相册无法再上传其他照片。测试方法:在相册内上传名称为
1<script>123</script>
的照片3. QQ 邮箱读取其他用户邮件 漏洞 在以MINE方式读取 QQ 邮箱邮件时,通过修改mailid参数,可以读取其他用户的邮件。在输入任意非法id字符时,会随机暴出其他用户的邮件内容。由于暴露邮件内容完全没有规律可循,具体引起该 漏洞 的原因还不清楚。该 漏洞 已经向腾讯报告。修补完毕后第一时间公布引起 漏洞 的原因。 
[/HTML]