WooYun.org

2.本集由"乌云基友团特约播出"
爱网络爱乌云更爱基友,什么？你还没有乌云基友？
本次漏洞是出在MAC版本的旺旺
在MAC版本的旺旺 我们进入群然后设置自己的群名片为XSS代码

<iframe src="http://wooyun.org">

然后只要管理员把你变成管理员 或者把你去掉管理员都在群里有个通知~那么直接被xss

你们可以亲测~~iframe 直接把网页弹出来了~
3.本集由"网络尖刀团队"独家冠名播出
爱乌云,爱芒果,更要爱网络尖刀哦~~~什么你不知道知安？呵呵！
无任何条件哦~~不知道能不能弹计算器呢~
这次呢问题出在 windows版本上,虽然你们在windows版本上做了过滤,但是我通过MAC版本的阿里旺旺成功修改了所有过滤的地方 比如你们的群名称不准出现<> （ 但是在MAC上直接就可以添加的
好了 这次问题还是出在群的昵称 不过呢,却在windows上灿烂地绽开~
我们先创建好群 然后 攻击者还要做一件事情 到阿里旺旺的设置里面吧起泡模式改变,

然后随便回复一个什么东西~~~只要你回复就好了
为什么改起泡呢,因为改了后你可以@人 而且编码处理也不一样了.

改变起泡后你看那个白色的就是@人的,
接下来把别人或者自己群昵称修改成带有XSS代码

接着呢我们@我们之前改过群昵称的那个用户然后发送出去 这时候只要群里的人点开立即就会谈个窗口哦~~~ (友情提示在改好这个群昵称后不管是在windows 还是mac版本上都可以@他 然后发送出去就可以xss哦~)

影响是很大滴~~~~ 嘿嘿~
然后呢 管理员能帮测试一下能不能弹计算器呢~ 本人实在无力了。。。测试好多都没办法~~