QQ安卓版本V8.8.5.5570存储型XSS漏洞

于 2021-07-12 10:25:05 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niqiu320/article/details/118669413
版权

1、更新QQ版本到最新,安卓版本V8.8.5.5570/
2、打开我的收藏 - 粘贴POC: %3Cscript%3Ealert%281%29;%3C/script%3E&r=software
3、返回之后点击最新添加的收藏 - 点击右上方三个点 - 点击编辑 - 再返回 - 成功弹窗/
4、返回再进去还是弹窗,可知是存储型XSS
5、poc里面的字可随便写,例如: %3Cscript%3Ealert%28/你被控制了/%29;%3C/script%3E&r=software

香芋320
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
腾讯系列的XSS注入篇
09-05
腾讯系列的XSS注入篇,感觉还行吧。如果用着有什么问题私我
QQ收藏self_xss漏洞复现(娱乐)
szgyunyun的博客
07-13 358
漏洞影响范围:QQ安卓版本 <=V8.8.5.5570 漏洞存在位置:QQ我的收藏功能 我的qq版本 漏洞复现 1、点击头像>>我的收藏 2、点击右上角:“+” 3、插入payload %253Cscript%253Ealert(%2Fxss%2F)%253B%253C%252Fscript%253E%2526r%253Dsoftware 4、然后返回,再点进刚才添加的收藏 >>点击右上角三个点>>点击编辑 然后触发payload 欢迎关注公众号 ..
QQ邮箱反射xss漏洞
Coisini的博客
06-13 2985
……,对,我印象中写过了,刚才因为需要要用,搜索了一下,是空的,嘶嘶嘶~可怕~ 起因 甲方“一个人的安全部”的时候,一个研发的同事在设计一项报表功能时,因为受到邮箱的安全限制无法很好的实现,于是将情况反馈给我。说实话,我对浏览器的安全也不太了解,案头的书翻了几页就没再动过,于是对比了腾讯邮箱的做法,发现了这个xss。 背景 公司使用coremail搭建企业邮箱,开发做了一个通过邮件发送h...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS漏洞。这种漏洞允许...
YXcms-含有存储XSS漏洞的源码包
03-17
"YXcms-含有存储XSS漏洞的源码包" 这个标题揭示了我们要讨论的核心内容。YXcms是一个内容管理系统(CMS),它不幸地包含了存储跨站脚本(Stored XSS)的安全漏洞存储XSSXSS攻击的一种类,这种漏洞通常...
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
asp源码—asp智睿学校网上评课系统 v8.8.6.zip
最新发布
02-07
10. 更新与升级:版本号“v8.8.6”表明这是一个经过多次迭代和优化的产品,可能包含了修复已知问题、提升性能和增加新功能的更新。 在深入研究源码之前,你可以通过阅读`Readme.txt`文件获取更多关于安装、配置和...
(华科企业网站管理系统)hkqyglxt-含有存储XSS漏洞的源码包.rar
03-24
【标题】"(华科企业网站管理系统)hkqyglxt-含有存储XSS漏洞的源码包.rar" 暴露了重要的网络安全问题,主要关注的是存储跨站脚本( Stored XSS漏洞。这个标题暗示了该源码包在设计时存在一个关键的安全缺陷,...
心伤的瘦子腾讯xss系列(21篇)
11-11
最全面的xss教程,全腾讯site实战,心伤的瘦子大佬出品,21篇
QQ邮箱有效的XSS payload
怡帆的博客
05-21 1346
在阅读完道哥的《白帽子讲WEB安全》后,对QQ邮箱的XSSpayload技痒,遂在QQ邮箱中进行尝试,以下为尝试过程和有效的payload代码
常见的Web漏洞——XSS
热门推荐
江左盟的博客
07-08 2万+
目录 XSS简介 XSS原理及分类 反射XSS 存储XSS 基于DOM的XSS XSSer的使用 至少有一个的参数: 可选的参数: 检查选项 选择攻击向量 绕过防火墙选项 绕过器选项 特殊技术 最后注入选项 特殊最后注入选项 报告导出 XSSer演示 BeEF-XSS 漏洞的防范 总结 XSS简介 XSS是跨站脚本攻击(Cross Site Scri...
QQ邮箱鸡肋存储XSS漏洞利用
weixin_30412577的博客
09-18 313
最近学习XSS跨站时,刚好发现了QQ邮箱的一个XSS漏洞。 具体的漏洞信息已提交乌云:wooyun-2013-037371 现在主要是做下简单的总结,也是自己第一次,马克一下。 对于这个漏洞的利用, 一、使用了标签属性劫持,这个没什么好说的 二、使用Flash的跨域,Flash使用的As3脚本从未接触过,本着语言都相通的思想,尝试写了一个盗取cookie的as3脚本, 当写成功后...
XSS
qq_25956141的博客
01-21 1181
1.常见XSS漏洞1--get请求回显漏洞  当我们的网页使用的是get请求的时候,服务器后端将get请求的字符串编码(在浏览器上使用的是encode编码)回显到页面的时候, 如果我们输入的是正常的一段字符,那么,他显示的是一段字符,然而,如果我们输入的是一段html代码呢???那么回显的就是一段html代码,当你的页面允许这样的时候,那么就要注意了,别人可以在你的链接上面加很长一段自己的
xss植入_微软Outlook for Android移动应用的XSS漏洞分析
weixin_33623304的博客
12-22 366
今天分享的Writeup是关于Outlook for Andriod的存储XSS漏洞,作者通过朋友发来的技术邮件偶然发现了该漏洞,历经长达几个月的复现构造,最终微软承认了该漏洞(CVE-2019-1105)。漏洞发现原因2018年底的时候,我一个朋友发邮件请我帮忙分析他在研究的一些JavaScript代码,虽然我不做漏洞挖掘,但他发过来的邮件在我的手机上显示出了一些奇怪的东西。我手机是...
XSS(偷你的Cookies)
qq_27552077的博客
03-12 1万+
XSS(Cross Site Scripting),跨站脚本攻击,取名XSS是避免和CSS同名。XSS攻击原理:攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。同时这也因为HTTP采用的明文模式,这样就让黑客有机可乘了(在我另一篇文章介绍过利用fiddle可以捕获HTTP报文)。我发现网上很多关于XSS攻击的文章都没
get方式的xss漏洞利用
qq_43814486的博客
04-15 2626
原理:后端没有对信息的输入和输出进行处理。提交信息(精心构造的payload)后,页面实质是把信息通过URL传到后台,也就是说,每一次通过浏览器进行这个URL访问的时候都会执行我们刚刚提交的信息(精心构造的payload)大致过程如图: 插一个小知识:通过前端对输入框进行限制其实是没用的,可以通过查看前端的代码找到对应的代码进行修改,如图: ...
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
存储XSS漏洞是指攻击者能够在服务器端存储恶意脚本,当其他用户访问包含这些脚本的页面时,脚本会被执行。审计者可能在`Home`目录下用户的文件或者`Public`目录中的上传文件中发现了此类漏洞,因为这些地方有可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值