H*********r
发帖数: 659 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: mifepristone (弃婴), 信区: sysop
标 题: 肏你妈病毒完全解析
发信站: BBS 未名空间站 (Thu Jun 18 00:42:36 2009, 美东)
用户client ---->买卖提----->服务器A
|__________________________|
第一步,将服务器A上放置的一jpeg植入帖子
第二步,当用户client点击帖子上的jpeg连接,client的浏览器向服务器A发送
get jpeg文件请求
第三步,服务器A上安置server side include的script,接收到client浏览器的
get jpeg请求时,自动根据client浏览器的网址reference,产生一个转贴的回复,
发送给client浏览器,比如:
...action="/cgi-bin/bbs/mitbbs_bbsccc?board=Boston&file=M.1173372463.
t0&target=&id=17703303&op_flag=0&op_flag_dst=document. | T**********n
发帖数: 480 | 2 这个思想不先进啊
凡是服务器端需要连http的都有这个问题
办法就是mitbbs在include之前先去检查一下那个jpeg是不是冒牌货
但是这样服务器负载一下就上去了,呵呵
【在 H*********r 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: mifepristone (弃婴), 信区: sysop
: 标 题: 肏你妈病毒完全解析
: 发信站: BBS 未名空间站 (Thu Jun 18 00:42:36 2009, 美东)
: 用户client ---->买卖提----->服务器A
: |__________________________|
:
: 第一步,将服务器A上放置的一jpeg植入帖子
: 第二步,当用户client点击帖子上的jpeg连接,client的浏览器向服务器A发送
: get jpeg文件请求
| v****s
发帖数: 1112 | 3 mitbbs像tg一样做一个blacklist,block all jpeg files from those servers, DONE!
【在 H*********r 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: mifepristone (弃婴), 信区: sysop
: 标 题: 肏你妈病毒完全解析
: 发信站: BBS 未名空间站 (Thu Jun 18 00:42:36 2009, 美东)
: 用户client ---->买卖提----->服务器A
: |__________________________|
:
: 第一步,将服务器A上放置的一jpeg植入帖子
: 第二步,当用户client点击帖子上的jpeg连接,client的浏览器向服务器A发送
: get jpeg文件请求
| n*w
发帖数: 3393 | 4 明白为什么有些论坛不让贴图的原因了。是不是可以让转帖的url加密的方式来防止了
?用个server记住的key来加下密。 |
|
