没错，下面就跟着玄猫来通过qq网站的漏洞，构建攻击代码，巧妙地对你的qq好友的q币来一次亲密接触吧。

跨站点的发现

qq秀有“他人支付”一个功能，就是在购买物品账户余额不足的时候，可以让用户的好友付账。在这个付账的留言中，我们可以填写经过构造的任意危险内容，网站会直接不加过滤的把这个消息通知到qq的客户端，当受侵害者打开这个消息时，我们放在其中的代码就会执行了。

过程分析

我们先来分析下“他人支付”的过程。
首先在网页上填写请求他人支付的表单，内容有对方的qq号码和你给对方的留言，然后对方的qq会弹出提示说有他人的支付请求，被请求的人点击“查看”打开这个请求(其实是打开了一个特殊形态的ie窗口[图二])，里面显示你请求对方购买的物品，还有两个按钮：“确定”和“拒绝”。
[图二]

经过分析页面源代码，点击“拒绝”就是关闭窗口，而点击“确定”是执行了一个自定义的javascript函数:askaccept()。这个askaccept()函数的代码如下：
[code]function askaccept()
{  
 senditem(’熟草莓’, ’14218’, ’20’, ’14’, 1, 2, ’20813691’, ’90868’); //20813691就是被赠送的人号码
 if (0) {
  window.location="/mall/inc/cart.html"; //页面跳转
 }
 else { //设置几个参数
  setcookie(’asksession’, ’bgcs4de3turyvlztnsg2eat47xmcjts’);
  setcookie(’senduin’, ’20813691’);
  setcookie(’recvuin’, ’1000000’);
  setcookie(’sendid’, ’90868’);
  window.location="/mall/inc/cl_cart.html"; //页面跳转
 }
}
[/code]
通过这个函数我们不难看到，程序先设置一些cookies，然后跳转的页面http://qqshow.qq.com/mall/inc/cl_cart.html。这个cl_cart.html是干什么的呢?这个就是点击同意后转到的页面，显示购物车的。再来分析这个页面，首先页面显示了购买的物品，然后有一个“账户支付”的按钮，我们再来分析源代码，点击“账户支付”后页面将被定向到http://qqshow.qq.com/cgi-bin/qqshow_user_ask_pass，来执行购买支付的操作。

跨站构造

我们需要用户执行查看物品页面中的函数askaccept()的一部分代码，即前面设置cookies的代码，而暂时不能进行页面的跳转，因为如果页面被重定向到了cl_cart.html这个页面的话，我们就失去了对客户端的控制权，但是在页面cl_cart.html又进行了某些设置cookies的操作，所以我们还要用别的方法调用这个页面，同理，我们也要调用页面http://qqshow.qq.com/cgi-bin/qqshow_user_ask_pass来进行支付的操作。