【不要乱点帖子】论坛出现XSS帖子，访问注意安全

小新

本帖最后由 小新 于 2014-5-13 23:02 编辑

大家最近要注意有没有盗号的情况，有人在《广州域名聚会大家需要什么样的形式呢？现场拍卖如何？》这个帖子发布回复内容带有xss platform的js，访问后你的Cookie可能会被对方盗取！不需要回复，只要点击了就中枪！

用户名是HostlocAdmin，该用户已经封了。现在点击那个帖子应该是安全的，封之前的……大概Cookie都被偷了

看过那帖子的用户可以试试退出登录再继续登录，暂时不知道这样能不能把老的Cookie作废。

小新

下①站↗幸福 发表于 2014-5-13 20:52

这个好像是ed2k的链接，感觉不像是xss，最简单的xss应该是调用外部js什么的吧，只是一个ed2k链接应该没有调 ...
他已经引用了外部的js了，引用到一个xss platform。如果单纯的ＸＳＳ测试我封他干嘛

李毅

谢谢版主，真棒！

hostloced

hostloced 发表于 2014-5-13 20:39

幸好没有回复那个帖子
看过那帖子你的Cookie就被盗了

小新

本帖最后由 opelnic 于 2014-5-16 20:22 编辑

乌云上面发布的时间是2月份，尽快修复才是正解啊

===
哪个贱婢盗号全家死

opelnic

一般这种用户都是杨兜兜邀请的，你们懂的。

SKIDROW

此人很是喜欢研究各种奇**怪巧，记得以前他的签名里还有 DO 的 CS 。

GodelEscherBach

这个好像是ed2k的链接，感觉不像是xss，最简单的xss应该是调用外部js什么的吧，只是一个ed2k链接应该没有调用什么，只要改个文件不识别ed2k链接好了

下①站↗幸福

真好
我也没回过

vaman

好流弊。。小新继续抓坏人。。我挺你..技术不错嘛，还好没看过