WooYun.org

XSS代码来自于正在被使用的案例，一个被骚扰的朋友发给我的什么贷相关的网站。
放了几天，到提交漏洞时，发现这个网站并没有使用该代码了，不知道是腾讯做了一些修复还是怎样～
分析XSS如下：
1. 先是用了一处QQ接口缺陷。
http://read.html5.qq.com/image?imageUrl=某短链接网址
2. 短连接网址跳转至一张图片。http://42.120.11.238:8888/x/ （现在已经不是原来的内容了）
该短连接的返回头中加入了
Set-Cookie: uin=XSS
这个头。

3. 问题来了， http://read.html5.qq.com/image?imageUrl= 在读取远程图片时，会将原请求的返回头也输出。
4. 这意味着，通过这个点，可以在qq.com域下设置任意COOKIES了。
5. 接着，攻击者 利用了腾讯另外一次 基于cookie的DOM XSS来利用了上面这个漏洞。链接如下：
http://comment5.qq.com/comment_user2.htm?uin=1&uid=11090&ref=&furl=
6. 当 在qq.com域下设置 uin这个cookie="><img src=1 OnerrOr=alert(1)> 后，再打开
http://comment5.qq.com/comment_user2.htm?uin=1&uid=11090&ref=&furl=
就会触发DOM XSS。
7. 其中OnerrOr里的O要大写哦！ 这是因为腾讯的奇葩过滤方式所致～，看看相关的代码！

8. 弹窗～