小漏洞，大危害之QQ空间暴出跨站漏洞

    【IT168 专稿】偶尔进入QQ空间音乐列表这个连接：http://123456.qzone.qq.com/?url=music_playlist

   说明：以下都以123456的空间为例子。测试的时候是自己空间地址测试的。进入后不小心在music_playlist后面打了一个字母按下了回车，QQ页面重新加载，返回如下页面（图1）：

图1

    出现404—NOT FOUND

    说明这个页面不存在，但是背景还在，说明这似乎是一个框架结构的页面。测试下，把URL=后面的music_playlist换成baidu.com看看。http://123456.qzone.qq.com/?url=music_playlist仍然返回上面的页面，猜想URL=后面的应该是一个文件路径，如果路径不存在加上了baidu.com无异于music_playlist的后面刚才多加了一个字母。那接下来把baidu.com换成http://baidu.com。不想看到的结果出现了，如下（图2）：

图2