src既然说内部已知，没有危害，0积分，那就分享给朋友们学习吧

基本信息

漏洞类型：Web漏洞-存储型XSS

业务归属：未设置

贡献值   ：0

当前状态：您的报告已经完结，再次感谢

危害等级：无

积分评定：0

安全币   ： 0

漏洞详情

一、详细说明：

# 请提供危害说明和测试步骤

手机或移动端测试，useragent检测，免杀过qq 微信 可信域名
二、漏洞复现辅助信息：

1. 漏洞URL：
https://pic.kg.qq.com/kgmvsafe/0/24_28f80ad2141d07bbf99be6e483f9fafc59816ec8?response-content-ty&_from=&_wv=131073&_wwv=646&_fv=0&_bid=5103
2. 功能入口：
3. 漏洞复现所需的HTTP报文（代码块格式）：
GET / HTTP/1.1
Host: pic.kg.qq.com
请提供完整报文（请使用代码插入功能粘贴数据包）

GET /kgmvsafe/0/24_28f80ad2141d07bbf99be6e483f9fafc59816ec8?response-content-ty&_from=&_wv=131073&_wwv=646&_fv=0&_bid=5103 HTTP/1.1Host: pic.kg.qq.comConnection: keep-aliveCache-Control: max-age=0DNT: 1Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (iPad; CPU OS 11_0 like Mac OS X) AppleWebKit/604.1.34 (KHTML, like Gecko) Version/11.0 Mobile/15A5341f Safari/604.1 Edg/132.0.0.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Accept-Encoding: gzip, deflate

被恶意加载的js文件url:https://2025qqhb.oss-cn-hangzhou.aliyuncs.com/js/sm.2025.js?t=1739075409145


4. 测试账号：

账号A：  用户/密码
账号B：  用户/密码

三、漏洞证明：

# 请提供截图或视频




被黑的xss页面如下：

[注意]看雪招聘，专注安全领域的专业人才平台！