WooYun.org

还是iweibo的问题，虽然限制了某参数的httponly不能直接劫持iweibo，但是我们却能利用这个反过来劫持t.qq.com的用户！！！
1）这里以我自己的微博帐号"se55i0n"进行演示,利用上个洞借来的帐号先收听se55i0n,然后广播里@se55ion 输入以下内容；

123</textarea><iframe src=javascript:alert(/1/)>

2)登录se55i0n帐号，在广播里发现这里对关键的字符是做了过滤的，不存在直接的跨站，但是我不小心点到我的听众，却出现了下面的情况；

3)哈哈，腾讯这里的贴心功能造就了该安全问题，应该是想给用户显示每个听众最后@自己的内容，但是这里却没有对内容进行过滤直接显示了出来 -_-||；
4)知道漏洞产生的原因，那我们就看看能不能利用这个xss劫持用户的帐号吧，进行一番测试发现在广播栏里插入普通的劫持cookie的代码会被腾讯过滤导致代码不完整，但是在广播里输入以下代码，成功绕过防御并执行；

5）登录se55i0n的帐号，点击我的听众，于是乎；

6）难道就这么就成功劫持了用户的微博帐号么，NO！使用获取到的cookie登录依然提示输入用户名、密码，当然第一个反应是做了httponly,打开firebug一看，果不其然看参数"t_skey"-_-||

7）难道就木有办法了么！！！非也，前面有童鞋提到过腾讯的cookie具有通用性，而且查看了本站cookie就一个参数做了httponly，于是我打开了xsser.me分析收到cookie值；

8）我手工提权了se55i0n登录t.qq.com后的cookie值，跟收到iweibo的cookie值进行了下对比，于是我找到了突破口，收到的iweibo的cookie值居然跟t.qq.com下的一模一样，仅仅多了两个无关痛痒的参数值"ts_last""ts_sid"，所以我们利用这个cookie成功登录到了腾讯微博；