全球主机交流论坛

标题: 【不要乱点帖子】论坛出现XSS帖子，访问注意安全 [打印本页]

作者: 小新 时间: 2014-5-13 20:36
标题: 【不要乱点帖子】论坛出现XSS帖子，访问注意安全
本帖最后由小新于 2014-5-13 23:02 编辑

大家最近要注意有没有盗号的情况，有人在《广州域名聚会大家需要什么样的形式呢？现场拍卖如何？》这个帖子发布回复内容带有xss platform的js，访问后你的Cookie可能会被对方盗取！不需要回复，只要点击了就中枪！

用户名是HostlocAdmin，该用户已经封了。现在点击那个帖子应该是安全的，封之前的……大概Cookie都被偷了

看过那帖子的用户可以试试退出登录再继续登录，暂时不知道这样能不能把老的Cookie作废。

作者: 李毅 时间: 2014-5-13 20:38
谢谢版主，真棒！

作者: hostloced 时间: 2014-5-13 20:39
提示: 作者被禁止或删除内容自动屏蔽

作者: 小新 时间: 2014-5-13 20:39

hostloced 发表于 2014-5-13 20:39
幸好没有回复那个帖子

看过那帖子你的Cookie就被盗了

作者: opelnic 时间: 2014-5-13 20:39
本帖最后由 opelnic 于 2014-5-16 20:22 编辑

乌云上面发布的时间是2月份，尽快修复才是正解啊

===
哪个贱婢盗号全家死

作者: SKIDROW 时间: 2014-5-13 20:42
一般这种用户都是杨兜兜邀请的，你们懂的。

作者: GodelEscherBach 时间: 2014-5-13 20:48
此人很是喜欢研究各种奇**怪巧，记得以前他的签名里还有 DO 的 CS 。

作者: 下①站↗幸福 时间: 2014-5-13 20:52
这个好像是ed2k的链接，感觉不像是xss，最简单的xss应该是调用外部js什么的吧，只是一个ed2k链接应该没有调用什么，只要改个文件不识别ed2k链接好了

作者: vaman 时间: 2014-5-13 20:54

真好
我也没回过

作者: Jetso 时间: 2014-5-13 20:54
好流弊。。小新继续抓坏人。。我挺你..

作者: 蓝洛水深 时间: 2014-5-13 20:57
技术不错嘛，还好没看过

作者: 贱人就是矫情 时间: 2014-5-13 21:01
我已经不记得看没看过这个帖子了。

作者: flyfish 时间: 2014-5-13 21:36
不好意思啊，我带领了一批人填坑。。。

作者: Lavender 时间: 2014-5-13 21:55
提示: 作者被禁止或删除内容自动屏蔽

作者: 每次醒来 时间: 2014-5-13 21:58

我进去看了下有事吗? 没回帖没点提示框

作者: 狼族工作室 时间: 2014-5-13 22:06

Lavender 发表于 2014-5-13 21:55
不是吧。。。。

扣扣不理我

作者: 小新 时间: 2014-5-13 22:55

下①站↗幸福发表于 2014-5-13 20:52
这个好像是ed2k的链接，感觉不像是xss，最简单的xss应该是调用外部js什么的吧，只是一个ed2k链接应该没有调 ...

他已经引用了外部的js了，引用到一个xss platform。如果单纯的ＸＳＳ测试我封他干嘛

作者: 小新 时间: 2014-5-13 22:56

每次醒来发表于 2014-5-13 21:58
我进去看了下有事吗? 没回帖没点提示框

有事

作者: cg865 时间: 2014-5-13 23:01
版主的功能好深厚!这都能发现.
话说,网络太不安全了

作者: 每次醒来 时间: 2014-5-13 23:12

小新发表于 2014-5-13 22:56
有事

太恐怖拉! 修改密码去

作者: holinhot 时间: 2014-5-13 23:12
重启服务器

作者: Lavender 时间: 2014-5-14 15:03
提示: 作者被禁止或删除内容自动屏蔽

作者: 气味 时间: 2014-5-14 18:46

这么MJJ 岂不是中枪了……

作者: 我是大傻瓜 时间: 2014-5-14 18:46
卧槽

作者: 采花大盗 时间: 2014-5-14 21:07
我给你喂猫粮

作者: 毅李 时间: 2014-5-15 09:17
改密码应该就没事了吧？

作者: sixu 时间: 2014-5-15 09:52
卧槽

作者: Jouleken 时间: 2014-5-15 10:06
提示: 作者被禁止或删除内容自动屏蔽

作者: 东方星雨 时间: 2014-5-15 11:28
我QQ登陆的，有事吗？？？

作者: 大胡子 时间: 2014-5-15 19:50
怎么搞

作者: 下①站↗幸福 时间: 2014-5-15 22:21

小新发表于 2014-5-13 22:55
他已经引用了外部的js了，引用到一个xss platform。如果单纯的ＸＳＳ测试我封他干嘛 ...

好吧，没注意到，已经重新登陆了，应该没什么事

作者: omegabomb 时间: 2014-5-16 12:58
吓人啊

作者: daiyi6677 时间: 2014-5-16 16:46
牛笔，特来摇旗呐喊！！

作者: __蛋丶碎 时间: 2014-5-16 21:06
幸亏我一个月都不带回帖的

作者: 神马皆浮云 时间: 2014-5-16 22:49
怎么发现的，求发现教程。。

作者: loveminds 时间: 2014-5-19 21:05
你把那个跳转草榴的帖子屏蔽下

作者: phxnash13 时间: 2014-5-22 16:41
这也行。。。。。。。。。

作者: z79254 时间: 2014-5-23 09:59
回帖顶顶更健康

===============

本帖全程独家冠名商：www.hoste.cn 互联数据

作者: aming 时间: 2014-5-30 01:02
太坏了，偷我家的曲奇
作者: psdshow 时间: 2014-6-3 18:00
太坏了
我点了怎么办
作者: PC站长网 时间: 2014-6-4 09:05
点击就中标？怎么屌他为什么不去别的网站上搞。。。这边都是穷屌丝啊费解啊
作者: sunsea 时间: 2014-6-4 21:38
过来看看签名情况
作者: zyzit 时间: 2014-6-5 14:31
吓死我了
作者: hz555 时间: 2014-6-9 20:36

作者: fukegdlfm 时间: 2014-6-11 09:30
牛逼的人哪……。
作者: yohu 时间: 2014-6-11 16:47
http://www.91ai.net/archiver/tid-245766.html

又一个,唉,反正是无管理了,没人在乎.
作者: ttpork 时间: 2014-6-12 04:57

作者: 小火 时间: 2014-6-13 09:04
没那么牛逼吧

欢迎光临全球主机交流论坛 (https://91ai.net/) Powered by Discuz! X3.4