这是一个创建于 48 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
renmu 48 天前 via Android
我认为是被黑了,这个平台 11 年就有了,有备案,有商场等各种业务
|
 |
2
Vancion 48 天前
被搞了。可以丢给 LLM 分析一下。大概就是 s.src=atob 后面那段,你自己 base64 解码也能看到加载的 js
|
 |
3
sheeta 48 天前
xss 注入
|
 |
4
MFWT 48 天前
典型的 XSS 注入,URL 解码一下就很清楚了,让 img 的 src 等于无效地址,然后通过 onerror 触发脚本,从第三方网页加载 js 文件插入到当前网页并执行
看着是利用这种人畜无害的链接做跳转站 |
 |
5
imlonghao 48 天前
XSS
|
|
6
MFWT 48 天前
跟了一下,跳转过去是一个游戏网站(具体链接就不放了,跟踪所加载的 js 代码很容易发现)的 未鉴权 且 未做类型限制 的图床,被人抓口子上传非法网页了
|
 |
7
pusheax 48 天前
反射型 XSS 。
这网站有一处漏洞,会把 get 参数的输入内容拼接到网页中。攻击者往 get 参数里面插跳转网页的 html 代码,当用户点击含有这段代码的连接时,就会触发 xss 跳转到恶意网站。 由于用户点击的链接其实是合法网站(之后才跳转非法网站),所以可以绕过一些安全检测(例如微信的“该网址已被多人举报”)。 |
Select Language