漏洞整理：炽天使

漏洞属性：输入验证错误

严重程度：高

QQ校友录留言功能对内容缺少过滤，攻击者可以通过提交包含有恶意代码的留言进行跨站脚本攻击，可以获取用户的敏感信息，如cookie信息。由于登陆校友录后cookie中包含了skey字段，结合《利用QQ跨站脚本漏洞做更多的坏事》成功率很高。

测试代码：

提交内容为<script>alert(document.cookie)</script>的留言