腾讯某处可插入第三方CSS – 网站安全 – 自学php

时间: 2020-10-11|tag: 15次围观|0 条评论

腾讯某处可插入第三方css,可引起XSS!

http://pt.3g.qq.com/s?aid=touchLogin&bid_code=qqbuyLogin&css=http%3A%2F%2Fapp.t.qq.com%2Fdownload.php%3Fkey%3D8e1b1ba1-a9de-438a-9f66-a073d7e60da0%26name%3Dhello.css&go_url=http%3A%2F%2Fparty.wanggou.com%2Ftws64%2Fm%2Fh5v1%2FcpLogin%3Frurl%3Dhttp%253A%252F%252Fwww.paipai.com%252Fm2%252Findex.html

css参数可控,只要是在qq.com域或paipai.com域下面的css就可以插入。

但是,额,没找到直接上传css的地方啊!

只能去找了个间接的css上传点:

http://dev.t.qq.com/html/upload.html

http://app.t.qq.com/download.php?key=2d5c8fcd-e194-45da-9ba7-0a46c33f0d23&name=hello.css

对js和xss都不怎么熟,测试就到这里,貌似只在IE下有点效果。。。

 

腾讯某处可插入第三方CSS – 网站安全 – 自学php插图
    上一篇: TurboMail邮件系统任意文件读取漏洞(需管理权限

    下一篇: Cmseasy SQL注射漏洞之三及修复 - 网站安全 - 自学
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《腾讯某处可插入第三方CSS – 网站安全 – 自学php
   

还没有人抢沙发呢~