[转载]QQ群跨站脚本漏洞

来源： 华夏黑客同盟

漏洞整理：炽天使

漏洞属性：输入验证错误

严重程度：高

QQ群简介对输入的字符缺少过滤，远程攻击者可以利用这个漏洞进行跨站脚本攻击，可以获取用户的敏感信息，如cookie信息。由于cookie信息中包含了用户登陆QQ网站时的身份验证加密串，通过获取加密串，可以完全控制帐户在网站上进行操作。

测试代码：

在QQ群简介（任何人可见那个）中输入<script>alert(documents.cookie)</script>.保存后点击本群首页。

下面是漏洞测试截图