腾讯某处可插入第三方CSS - 网站安全

腾讯某处可插入第三方CSS - 网站安全 - 自学php

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 腾讯某处可插入第三方css，可引起XSS！http: pt 3g qq com s?aid=touchLoginbid_code=qqbuyLogincss=http%3A%2F%2Fapp t qq com%2Fdownload php%3Fkey%3D8e1b1ba1-a9de-438a-9f66-a073d7e60da0%26name%3Dhell...

腾讯某处可插入第三方css，可引起XSS！

http://pt.3g.qq.com/s?aid=touchLogin&bid_code=qqbuyLogin&css=http%3A%2F%2Fapp.t.qq.com%2Fdownload.php%3Fkey%3D8e1b1ba1-a9de-438a-9f66-a073d7e60da0%26name%3Dhello.css&go_url=http%3A%2F%2Fparty.wanggou.com%2Ftws64%2Fm%2Fh5v1%2FcpLogin%3Frurl%3Dhttp%253A%252F%252Fwww.paipai.com%252Fm2%252Findex.html

css参数可控，只要是在qq.com域或paipai.com域下面的css就可以插入。

但是，额，没找到直接上传css的地方啊！

只能去找了个间接的css上传点：

http://dev.t.qq.com/html/upload.html

http://app.t.qq.com/download.php?key=2d5c8fcd-e194-45da-9ba7-0a46c33f0d23&name=hello.css

对js和xss都不怎么熟，测试就到这里，貌似只在IE下有点效果。。。

TurboMail邮件系统任意文件读取漏洞（需管理权限

Cmseasy SQL注射漏洞之三及修复 - 网站安全 - 自学

子栏目

腾讯某处可插入第三方CSS - 网站安全 - 自学php

http://pt.3g.qq.com/s?aid=touchLogin&bid_code=qqbuyLogin&css=http%3A%2F%2Fapp.t.qq.com%2Fdownload.php%3Fkey%3D8e1b1ba1-a9de-438a-9f66-a073d7e60da0%26name%3Dhello.css&go_url=http%3A%2F%2Fparty.wanggou.com%2Ftws64%2Fm%2Fh5v1%2FcpLogin%3Frurl%3Dhttp%253A%252F%252Fwww.paipai.com%252Fm2%252Findex.html

对js和xss都不怎么熟，测试就到这里，貌似只在IE下有点效果。。。

最新评论

添加评论

更多文章推荐

添加评论