在后面直接打个“/”看看，地址变成：http://show8.qq.com/show.html?MUrl=/，出现了变化，如下图4

 
图4

    出现了画中画，看来一些还要在这个“/”上做文章，直接在“/”后面加个baidu.com，图5

图5

    一般主要出现找不到网页就肯定能找到突破，还记得上次发现QQ空间的漏洞的时候后面是打了两个“/”， http://show8.qq.com/show.html?MUrl=//baidu.com，这次来看看，如图6

图6

    跨站成功了。
    我们来看看QQ秀登录的界面，图7

图7

    这样的一个页面用网页制作工具很容易做出来，后面通过一个简单ASP接受页，就可以接收在这个界面提交的QQ号和密码，再加上一个“服务器忙，请少后登录”的字样消息框之后跳转回QQ秀主页。那么很难被发觉出什么的。攻击者如果利用跨站漏洞制作出这个页面发送给一些安全意识不高的用户很可能密码就被截取走了。所以写到这里提醒大家，在打开别人发给你的网杂货内的时候要慎重考虑，带有大量%的网站就很可疑了。

    总结
    QQ网站有许多这样的XSS跨站攻击漏洞，笔者没有做更多的测试，在QQ空间补上这个漏洞后，却没有注意其他地方，哪漏补哪的作风可不提倡，当一个安全问题出现的时候一定要考虑全站其他的地方是否存在同样的安全问题。

    有关XSS跨站攻击的基本概念及防范的方法，请读者参考以下专题：
    XSS跨站攻击全解释：
    http://www4.it168.com/jtzt/shenlan/safe/xss/index.html