原创 订阅所有原创的日志

关于最近的百度贴吧漏洞

作者:天边鱼 日期:2010-7-14 9:19:52

字体大小:

原文是一大堆代码.
其实说起来很简单
百度贴吧有插入flash/视频的功能
并且向国内的一群视频网提供接口
但是因为国内的某些视频网过滤不严, 于是导致这个漏洞的发现

原文例举的是六间房, 也就是6.cn
六间房有个漏洞可以做跨站处理:
http://6.cn/logout.php?next_action=http://woshilaikuazhande.swf

这样思路就清晰了, 可以在flash里加一段JS代码
然后发帖.. 把该flash嵌入
这段JS代码随意, 甚至可以伪装一个百度登录框
然后从而做个小钓鱼劫持用户的帐号密码
其实话说JS可以做很多事的..

防范方法更简单..
只要进帖子发现莫名其妙弹出个登录窗口的.. 一律默认关掉即可

--------------
以上只是分析思路, 我到现在都没发现利用这个方法盗号的..
 

分享到QQ空间

Tags: 百度贴吧  漏洞  
相关日志:
  • 参加古典吧的藏头诗  (2010-2-16 14:48:44)
  • 今天很热闹  (2010-2-7 22:53:35)
  • 哎, 吧主累  (2010-2-4 19:5:9)
  • 关于某吧主  (2010-1-31 22:42:0)
    • 评论: 12 | 查看次数:
    回复 位于12楼的 弥生 说道:
    [2010-7-15 13:48:01]
    每天坚定不移的按爪Hehe
    回复 位于11楼的 木落幽墀 说道:
    [2010-7-14 23:03:20]
    来的人越来越少了..........
    回复 位于10楼的 木落幽墀 说道:
    [2010-7-14 23:03:00]
    茫然状........- -
    回复 位于9楼的 老七 说道:
    [2010-7-14 17:45:54]
    鱼哥应该实现下。。
    回复 位于8楼的 焱焱 说道:
    [2010-7-14 17:32:19]
    竟然半个月没去贴吧了,过了兴趣了
    回复 位于7楼的 弥生 说道:
    [2010-7-14 14:10:01]
    Hehe我想说我看的很茫然很茫然......
    回复 位于6楼的  说道:
    [2010-7-14 13:49:25]
    只要进帖子发现莫名其妙弹出个登录窗口的.. 一律默认关掉即可
    ----------------------------------------------------
    嗯,就这句我看懂了...= =
    苏遥 于 2010-7-23 18:24:57 回复
    嗯嗯~~Cry
    回复 位于5楼的 青遥 说道:
    [2010-7-14 11:02:37]
    原来Javascript有这么强大的功能,一直小看它了
    回复 位于4楼的 且听风吟 说道:
    [2010-7-14 10:19:50]
    看不懂—_—b~~
    回复 位于3楼的 cc 说道:
    [2010-7-14 10:18:42]
    好早啊~JS是啥?JSP??
    回复 位于2楼的 Soul崽 说道:
    [2010-7-14 9:41:15]
    Grimace那就一起占了吧
    回复 位于1楼的 Soul崽 说道:
    [2010-7-14 9:40:35]
    莫非我又是沙发、!
    发表评论
    昵 称:
    邮 箱:
    主 页:
    内 容: