m*****1
发帖数: 1439 | 1 【 以下文字转载自 PennySaver 讨论区 】
发信人: leooooo (有多远滚多远), 信区: PennySaver
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:22:39 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
c*******o
发帖数: 5387 | 2 这是用啥脚本语言?pearl?
各位大牛,谁给说说。 |
l**n
发帖数: 7272 | 3 非牛。
php吧。看页面source可以看到。
【在 c*******o 的大作中提到】
: 这是用啥脚本语言?pearl?
: 各位大牛,谁给说说。
|
H*******g
发帖数: 6997 | 4 LOL,MITBBS终于被人大规模给黑了,谁叫Y技术是20年前的,哼哼。 |
c*h
发帖数: 33018 | 5 现在咋办呢?
把WB挥霍掉?
【在 H*******g 的大作中提到】
: LOL,MITBBS终于被人大规模给黑了,谁叫Y技术是20年前的,哼哼。
|
t****u
发帖数: 10218 | |
m*****1
发帖数: 1439 | 7 好像这个还没完啊,连偶也被改成蓝的了
这是谁唯恐天下不乱啊...
【在 m*****1 的大作中提到】
: 【 以下文字转载自 PennySaver 讨论区 】
: 发信人: leooooo (有多远滚多远), 信区: PennySaver
: 标 题: 近期被改昵称,转WB的同学请进 (转载)
: 发信站: BBS 未名空间站 (Wed Dec 5 21:22:39 2012, 美东)
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
|
B*****g
发帖数: 34098 | 8 20年前有php?
【在 H*******g 的大作中提到】
: LOL,MITBBS终于被人大规模给黑了,谁叫Y技术是20年前的,哼哼。
|
