腾讯WEB QQ文件传输一鸡肋漏洞及修复

作者：hack1990 时间：11-04-20 阅读数：553人阅读

简要描述：

文件名称中的特殊字符没有进行检验和限制。

详细说明：

2011-04-12 22:40:58
对方已同意接收"C:\fakepath\1.asa;.jpg",开始传输文件.
2011-04-12 22:41:02
文件"1.asa"传输成功.

漏洞证明：

2011-04-12 22:40:58
对方已同意接收"C:\fakepath\1.asa;.jpg",开始传输文件.
2011-04-12 22:41:02
文件"1.asa"传输成功.
修复方案：检验特殊字符