QQ的几个严重漏洞[转]

１．QQ群跨站脚本漏洞

漏洞属性：输入验证错误

严重程度：高

QQ群简介对输入的字符缺少过滤，远程攻击者可以利用这个漏洞进行跨站脚本攻击，可以获取用户的敏感信息，如cookie信息。由于cookie信息中包含了用户登陆QQ网站时的身份验证加密串，通过获取加密串，可以完全控制帐户在网站上进行操作。

测试代码：

在QQ群简介（任何人可见那个）中输入.保存后点击本群首页。

下面是漏洞测试截图

[img]http://aday.3800cc.com/pic/2004122501.GIF[/img]

２．QQ群相册上传照片名过滤不严漏洞

QQ群相册的上传照片功能对上传照片名称过滤不严，恶意用户可以通过上传带有特殊名称的照片，破坏相片显示页面代码，使得在此恶意相片之前上传的相片无法正常显示，并且造成该相册无法再上传其他照片。

测试方法：在相册内上传名称为的照片

３．QQ邮箱读取其他用户邮件漏洞

在以MINE方式读取QQ邮箱邮件时，通过修改mailid参数，可以读取其他用户的邮件。在输入任意非法id字符时，会随机暴出其他用户的邮件内容。由于暴露邮件内容完全没有规律可循，具体引起该漏洞的原因还不清楚。

该漏洞已经向腾讯报告。修补完毕后第一时间公布引起漏洞的原因。

[img]http://aday.3800cc.com/pic/2004122502.GIF[/img]