n*2 发帖数: 19062 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
C*****H 发帖数: 7927 | 2 real IT guru啊。。。。。
【在 n*2 的大作中提到】 : 【 以下文字转载自 sysop 讨论区 】 : 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop : 标 题: 近期被改昵称,转WB的同学请进 : 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东) : 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷 : 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的 : 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间, : 因此余波还会持续一阵。 : 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没 : 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
n*2 发帖数: 19062 | 3 看看你,再看看人家
【在 C*****H 的大作中提到】 : real IT guru啊。。。。。
|
C*****H 发帖数: 7927 | 4 掩面小碎步.....
【在 n*2 的大作中提到】 : 看看你,再看看人家
|
N*******l 发帖数: 582 | 5
【在 n*2 的大作中提到】 : 【 以下文字转载自 sysop 讨论区 】 : 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop : 标 题: 近期被改昵称,转WB的同学请进 : 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东) : 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷 : 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的 : 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间, : 因此余波还会持续一阵。 : 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没 : 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
N*******l 发帖数: 582 | 6 哈哈,
【在 C*****H 的大作中提到】 : 掩面小碎步.....
|
d******2 发帖数: 2795 | 7 hoho
【在 C*****H 的大作中提到】 : 掩面小碎步.....
|