a****t 发帖数: 7049 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
a****t 发帖数: 7049 | 2 买卖提真是吃屎的,下面内容供大家参考。
原帖在这里:
http://www.mitbbs.com/article_t1/sysop/31328113_0_1.html
摘要:
买买提的个人页面,其联系方式MSN栏目不经任何检验自动收录用户输入的信息,被黑
客利用填入了自己准备好的脚本,当别人点入被黑个人页面时,该脚本会以登陆用户的
身份修改登陆用户自己的页面联系方式栏,同样地填入黑客的脚本,导致传播。
被害现象:
1. 昵称、心情被篡改为h01y.HERO.rules!
2. 伪币被转到HEROGG俱乐部
3. id性别被改
4. 联系方式MSN栏目里有诡异字串
5. 个人页面文件源里含hk1.7.js字串
防御措施:
在一、二天内不要用web在登陆的时候点其他人的个人页面,以防点到被黑过的页面然
后自己的页面被黑。不登陆的时候点个人页面没事。用telnet也没事。把w0rmm1t.
googlecode.com列入浏览禁域也可以。
清除、修复自己页面:
登陆自己帐户之后
1. 个人信息设置->联系方式(或者http://www.mitbbs.com/mitbbs_user_info3.php),清空MSN帐号栏,保存修改。可以考虑暂时改称“仅本人可见”,这样不影响其它用户。
2. 个人信息设置->个人资料,可以恢复昵称、性别。
3. 心情设置,恢复心情。
4. 伪币偿还参考之上帖子。 |
c**e 发帖数: 3760 | 3 昨天LD说她也试了试,结果被扣了几个伪币。
samy worm都出来这么多年了。买买提的安全工作要加强啊。
这个白帽黑客有意思。
【在 a****t 的大作中提到】 : 买卖提真是吃屎的,下面内容供大家参考。 : 原帖在这里: : http://www.mitbbs.com/article_t1/sysop/31328113_0_1.html : 摘要: : 买买提的个人页面,其联系方式MSN栏目不经任何检验自动收录用户输入的信息,被黑 : 客利用填入了自己准备好的脚本,当别人点入被黑个人页面时,该脚本会以登陆用户的 : 身份修改登陆用户自己的页面联系方式栏,同样地填入黑客的脚本,导致传播。 : 被害现象: : 1. 昵称、心情被篡改为h01y.HERO.rules! : 2. 伪币被转到HEROGG俱乐部
|
i*******r 发帖数: 1075 | 4 哇!恭喜版神中招 or should i say:
welcome back from thailand! //run
作出
【在 a****t 的大作中提到】 : 买卖提真是吃屎的,下面内容供大家参考。 : 原帖在这里: : http://www.mitbbs.com/article_t1/sysop/31328113_0_1.html : 摘要: : 买买提的个人页面,其联系方式MSN栏目不经任何检验自动收录用户输入的信息,被黑 : 客利用填入了自己准备好的脚本,当别人点入被黑个人页面时,该脚本会以登陆用户的 : 身份修改登陆用户自己的页面联系方式栏,同样地填入黑客的脚本,导致传播。 : 被害现象: : 1. 昵称、心情被篡改为h01y.HERO.rules! : 2. 伪币被转到HEROGG俱乐部
|
a****t 发帖数: 7049 | 5 懒得改回来了,就这样吧! :)
【在 i*******r 的大作中提到】 : 哇!恭喜版神中招 or should i say: : welcome back from thailand! //run : : 作出
|
i***a 发帖数: 11826 | |
a****t 发帖数: 7049 | 7 中了唉!seprose也中了,许多人中了。。不过我居然中了他的version 2。站务mitbbs
自己都中了,笑死了
【在 i***a 的大作中提到】 : 版神也中招啦~?恭喜~(*^__^*)
|
i***a 发帖数: 11826 | 8 赞!还能分出版本。我都奇怪,我怎么就没中呢~~?象我这样的,应该中的呀。。
哎,没跟上潮流,只能说明我好几天没有认真灌水了,汗~~⊙﹏⊙b
mitbbs
【在 a****t 的大作中提到】 : 中了唉!seprose也中了,许多人中了。。不过我居然中了他的version 2。站务mitbbs : 自己都中了,笑死了
|
s*****e 发帖数: 5471 | 9 啥?我这几天都没登录也能中?肯定是查看apt时候中的。
怎么改回来啊?
话说apt,我现在是该改口叫你弟弟了吗?
mitbbs
【在 a****t 的大作中提到】 : 中了唉!seprose也中了,许多人中了。。不过我居然中了他的version 2。站务mitbbs : 自己都中了,笑死了
|
a****t 发帖数: 7049 | 10 还不把心情改回?这个不好说谁传给了谁,貌似申请版务那会儿就有病了
你。。。随便怎么叫都行吧,hiahiaaa
【在 s*****e 的大作中提到】 : 啥?我这几天都没登录也能中?肯定是查看apt时候中的。 : 怎么改回来啊? : 话说apt,我现在是该改口叫你弟弟了吗? : : mitbbs
|
|
|
s*****e 发帖数: 5471 | |
a****t 发帖数: 7049 | 12 有,在家页里,看二楼
【在 s*****e 的大作中提到】 : 怎么改心情啊?个人设置里没有啊?
|
s*****e 发帖数: 5471 | 13 3. 心情设置,恢复心情。
这个在哪?没找到啊?
【在 a****t 的大作中提到】 : 有,在家页里,看二楼
|
a****t 发帖数: 7049 | 14 家页啊。。人像边上的链接里最底下那个
【在 s*****e 的大作中提到】 : 3. 心情设置,恢复心情。 : 这个在哪?没找到啊?
|
s*****e 发帖数: 5471 | 15 版主V5!一下就找到了。还以为在个人设置里。
user error - documentation not read. |
a****t 发帖数: 7049 | 16 买买提这次挺丢人的,技术人员的水平暴露了。
去看了下afantibbs的乐手版(我也是版主哈哈),惊闻那边居然有人灌水。。估计是
谁的马甲
【在 s*****e 的大作中提到】 : 版主V5!一下就找到了。还以为在个人设置里。 : user error - documentation not read.
|
s*****e 发帖数: 5471 | 17 还有阿凡提。。。汗。。。
那边好热闹,我以后转战阿凡提了哈哈。
【在 a****t 的大作中提到】 : 买买提这次挺丢人的,技术人员的水平暴露了。 : 去看了下afantibbs的乐手版(我也是版主哈哈),惊闻那边居然有人灌水。。估计是 : 谁的马甲
|
s******s 发帖数: 2074 | 18 去看了下阿凡提,惊见板神大名……
我可以同样申请版四咩?
【在 a****t 的大作中提到】 : 买买提这次挺丢人的,技术人员的水平暴露了。 : 去看了下afantibbs的乐手版(我也是版主哈哈),惊闻那边居然有人灌水。。估计是 : 谁的马甲
|
a****t 发帖数: 7049 | 19 哈哈,那边一申就批,比如我还是brainteaser版主!
【在 s******s 的大作中提到】 : 去看了下阿凡提,惊见板神大名…… : 我可以同样申请版四咩?
|