QQ邮箱储存型XSS下载

来源:黑吧安全网 浏览:1961次 时间:2014-08-02
做网站找雨过天晴工作室

目前暂时没找到可利用场景,所以可以理解为self-xss吧,期待大牛们发现可利用的途径。其实主要就是提供一种思路,求忽略!~英文版的qq邮箱,附件夹可以编辑附件名字,但是过滤了xss

然而,中文版qq邮箱的附件夹,虽然不能修改附件名字,但是却没有过滤XSS代码。

所以,从英文版输入,中文版输出,导致XSS

就是分享以下这种思维方法,类似的还有wap输入,web输出。



以及pc、web、app等之间的数据同步,但是输入输出设计和过滤不一致,从而产生XSS的情况。