騰訊QQ一向是騰訊主打的產品，意想不到前天發布的QQ2010SP1竟然有如此大漏洞。

首先囧一下:腳本出錯還會提示錯誤

1、消息記錄的Javascript、Html標簽沒有屏蔽

2、消息盒子Javascript、Html標簽沒有屏蔽

3、小實驗

發送代碼：

因為騰訊會自動將url轉換，我們必須混淆url才能發送

4、超牛代碼

因為要點擊才能觸發，想到一個不用點擊就能觸發的代碼。

5、希望騰訊快點修復，這個漏洞非同小可

6、本漏洞由TGL發現。

如打算規避漏洞帶來的風險，請下載SP0版本，看來SP1版本的changelog得修改為“更新了一些漏洞”。  

【編輯推薦】

1. 騰訊QQ令牌的安全性分析
2. 騰訊新漏洞？繞過加密QQ空間