关闭

QQ聊天室html字符未过滤bug(ALLyeSNO)

1151人阅读 评论(6) 收藏 举报

Term   : FreeXploiT

Author : ALLyeSNO

Date    : 2005-3-3

漏洞成因:主要还是腾讯对字符没有严格的过滤 好像我以前发现的#字符漏洞 以及 火只天使发现的近期几个QQ的漏洞

一、隐身

虽然腾讯聊天室过滤了 < 字符 但是加上 / 字符就可以绕过了 当使用 </ 作为名字的时候你就隐身了

二、id欺骗

然后再名字里面添加别人的名字 你就可以冒充别人说话了

例如你要冒充一个 叫 zeta 的人说话 则是 zeta</ 当显示聊天的时候 </ 是不会显示出来的

三、惟我独尊

把自己说的话放大是不是很引人注目 很简单 只要把名字改为 <h1/

四、幻影

把名字改为 <marquee/ 你说的话就跟幻影一样了 嘎嘎

基本上html字符都能用在上面 可惜的是 名字有字数限制 不然漏洞就更具有杀伤力了

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:3175998次
    • 积分:37816
    • 等级:
    • 排名:第115名
    • 原创:801篇
    • 转载:195篇
    • 译文:5篇
    • 评论:1084条
    最新评论