腾讯QQ2010SP1惊现漏洞

分类:技术 4.31k浏览

    一直以来都没发现腾讯的程序出过什么大问题,今天无意中尝试到了这个问题,首先打开一个好友,向其发送HTML代码信息:
表单代码:<input type=”text” name=”sdas” id=”sdas” />
    再打开面板上的消息记录,上面那串代码竟然运行了,消息盒子里也是,经过测试,消息记录、消息盒子都没屏蔽(过滤)Javascript、Html代码,如果被黑客编写一个自动触发的病毒代码,那么后果不堪设想。
   下午14点23分补充:因为腾讯会过滤地址,如果需要发框架、跳转代码之类的必须要先把网址加密才有效。

以上代码实现效果图:

在测试中更为可笑的是,发送的代码有错,消息记录下竟然明文提示“当前页面出现脚本错误”。

希望腾讯赶紧出补丁补上漏洞。

—————————————————————————–

2010年7月29日跟新:本漏洞已被腾讯修复。