n*2 发帖数: 19062 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
c*******t 发帖数: 345 | |
y**u 发帖数: 7459 | |
c*******t 发帖数: 345 | 4 确实很烂,尤其这个出面解释,比不解释消声蹑迹更烂。
【在 y**u 的大作中提到】 : 我还是觉得这人很烂。。。
|
c*******t 发帖数: 345 | 5 “特别是众多ebiz版和sex版的ID们”这句话很耐人寻味 |
y**u 发帖数: 7459 | 6 他常混这两个地方?。。。。
【在 c*******t 的大作中提到】 : “特别是众多ebiz版和sex版的ID们”这句话很耐人寻味
|
c*******t 发帖数: 345 | 7 不知道,从他的帖子的内容看,是这两个版的ID喜欢点击他人ID看信息。
【在 y**u 的大作中提到】 : 他常混这两个地方?。。。。
|
n*2 发帖数: 19062 | 8 这个很正常,ebiz的是真金实银交易的,一般都是查查对方的id,看是不是老id,可不
可信。
sex版的话,估计大家想看看发帖人以前发过啥贴,是不是马甲?是谁的马甲?
【在 c*******t 的大作中提到】 : 不知道,从他的帖子的内容看,是这两个版的ID喜欢点击他人ID看信息。
|
n*2 发帖数: 19062 | 9 算了吧,早中招,比晚中招好,起码这人还没干更出格的事。
当然我也认为这种行为很不好。
要是真怀有恶意的,ebiz,二手版等真金实银交易的id,受损更大
【在 y**u 的大作中提到】 : 我还是觉得这人很烂。。。
|
y**u 发帖数: 7459 | 10 这样啊
【在 n*2 的大作中提到】 : 这个很正常,ebiz的是真金实银交易的,一般都是查查对方的id,看是不是老id,可不 : 可信。 : sex版的话,估计大家想看看发帖人以前发过啥贴,是不是马甲?是谁的马甲?
|
|
|
y**u 发帖数: 7459 | 11 我今天一直登录不上,浪费了好多时间。。这个烂猪头!
【在 n*2 的大作中提到】 : 算了吧,早中招,比晚中招好,起码这人还没干更出格的事。 : 当然我也认为这种行为很不好。 : 要是真怀有恶意的,ebiz,二手版等真金实银交易的id,受损更大
|
I***i 发帖数: 14557 | |
c*******t 发帖数: 345 | 13 这个解释靠谱,sex版估计还要猜性别。
【在 n*2 的大作中提到】 : 这个很正常,ebiz的是真金实银交易的,一般都是查查对方的id,看是不是老id,可不 : 可信。 : sex版的话,估计大家想看看发帖人以前发过啥贴,是不是马甲?是谁的马甲?
|
y**u 发帖数: 7459 | 14 哈哈,真是各有各的难处啊
【在 c*******t 的大作中提到】 : 这个解释靠谱,sex版估计还要猜性别。
|
a***a 发帖数: 12425 | 15 我有罪,我坦白。我今天点了不少版上中过招的ID和我自己的ID(我点的最多的是鱼族
,哈哈),想看看你们的昵称和我的一样不,我手好欠,所以掉了1.7个包子,不去要
了。点别人ID只会自己掉wb吧,比如我点鱼族,只是我少了1wb,鱼族不会受影响吧?
可我不是ebiz和sex版的ID。 |
a***a 发帖数: 12425 | 16 我觉得是这个始作俑者是这个人。你看他的ID是Holyclayman,然后他改别人心情用的
是“h01y.HERO.rules!”,据李冰分析,就是“Holy hero rules”的意思,我觉得有
道理。
作出
【在 n*2 的大作中提到】 : 算了吧,早中招,比晚中招好,起码这人还没干更出格的事。 : 当然我也认为这种行为很不好。 : 要是真怀有恶意的,ebiz,二手版等真金实银交易的id,受损更大
|
n*2 发帖数: 19062 | 17 发信人: zhanglaosan (张老三), 信区: LosAngeles
标 题: Re: !!!所有昵称被改的ID请注意!!! (转载)
发信站: BBS 未名空间站 (Wed Dec 5 18:16:17 2012, 美东)
我觉得他没有hack密码
就是找到了某些api的漏洞,比如找到一些post,不需要是你本人也能post参数修改个人
信息之类的
很可能就是老刑的code太屎了
【在 a***a 的大作中提到】 : 我觉得是这个始作俑者是这个人。你看他的ID是Holyclayman,然后他改别人心情用的 : 是“h01y.HERO.rules!”,据李冰分析,就是“Holy hero rules”的意思,我觉得有 : 道理。 : : 作出
|
y**u 发帖数: 7459 | 18 。。。。难怪我钱少的那么快。。不过无所谓啦,本来就打算攒到500就捐掉的,这回
在口袋里多捂了几天,干脆连整带零都捐了。
老是讲,做穷光蛋的感觉其实挺好的,从头开始啊!
【在 a***a 的大作中提到】 : 我有罪,我坦白。我今天点了不少版上中过招的ID和我自己的ID(我点的最多的是鱼族 : ,哈哈),想看看你们的昵称和我的一样不,我手好欠,所以掉了1.7个包子,不去要 : 了。点别人ID只会自己掉wb吧,比如我点鱼族,只是我少了1wb,鱼族不会受影响吧? : 可我不是ebiz和sex版的ID。
|
a***a 发帖数: 12425 | 19 啊?!好比我点你,到底是你掉1伪币还是我掉1伪币啊?
【在 y**u 的大作中提到】 : 。。。。难怪我钱少的那么快。。不过无所谓啦,本来就打算攒到500就捐掉的,这回 : 在口袋里多捂了几天,干脆连整带零都捐了。 : 老是讲,做穷光蛋的感觉其实挺好的,从头开始啊!
|
a***a 发帖数: 12425 | 20 “做穷光蛋的感觉其实挺好的,从头开始啊!”我也有同感,哈哈
【在 y**u 的大作中提到】 : 。。。。难怪我钱少的那么快。。不过无所谓啦,本来就打算攒到500就捐掉的,这回 : 在口袋里多捂了几天,干脆连整带零都捐了。 : 老是讲,做穷光蛋的感觉其实挺好的,从头开始啊!
|
|
|
H********g 发帖数: 1107 | 21 lol 都说的这么清楚了,还说没有公开攻击细节。。
-------
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
y**u 发帖数: 7459 | 22 这个不知道。。。那时候我已经捐掉了,懒得仔细看了。我好像没点很多人,相互的?
【在 a***a 的大作中提到】 : 啊?!好比我点你,到底是你掉1伪币还是我掉1伪币啊?
|
H********g 发帖数: 1107 | 23 你点别人是你掉伪币,然后你的信息被修改,别人点你的时候,别人掉伪币,然后别人
的信息也被修改,就这么传染的。
【在 a***a 的大作中提到】 : 啊?!好比我点你,到底是你掉1伪币还是我掉1伪币啊?
|
a***a 发帖数: 12425 | 24 原来如此。
【在 H********g 的大作中提到】 : 你点别人是你掉伪币,然后你的信息被修改,别人点你的时候,别人掉伪币,然后别人 : 的信息也被修改,就这么传染的。
|
i*****s 发帖数: 15215 | 25 原来如此。
作出
【在 n*2 的大作中提到】 : 发信人: zhanglaosan (张老三), 信区: LosAngeles : 标 题: Re: !!!所有昵称被改的ID请注意!!! (转载) : 发信站: BBS 未名空间站 (Wed Dec 5 18:16:17 2012, 美东) : 我觉得他没有hack密码 : 就是找到了某些api的漏洞,比如找到一些post,不需要是你本人也能post参数修改个人 : 信息之类的 : 很可能就是老刑的code太屎了
|
i*****s 发帖数: 15215 | 26 确实
【在 y**u 的大作中提到】 : 我还是觉得这人很烂。。。
|
n*2 发帖数: 19062 | 27 版大被扣了吗
【在 i*****s 的大作中提到】 : 原来如此。 : : 作出
|
a***a 发帖数: 12425 | 28 版大的应该没有我猜。
我知道李冰的ID坚如磐石,没有受到攻击的说。
【在 n*2 的大作中提到】 : 版大被扣了吗
|
H********g 发帖数: 1107 | 29 要是担心账号安全的话,可以专门用一个浏览器上mitbbs,
把这个浏览器的javascript禁用掉。
这个人今天这么一说,这个漏洞可以被很多人利用了,我刚才就试了一次。
因为已经讲的很清楚了。 |
i*****s 发帖数: 15215 | 30 你这个解释很靠谱,这个人应该是个神医,估计是用这个漏洞偷看过别人的交易,叹!
【在 a***a 的大作中提到】 : 我觉得是这个始作俑者是这个人。你看他的ID是Holyclayman,然后他改别人心情用的 : 是“h01y.HERO.rules!”,据李冰分析,就是“Holy hero rules”的意思,我觉得有 : 道理。 : : 作出
|
|
|
i*****s 发帖数: 15215 | 31 呵呵,好人
【在 y**u 的大作中提到】 : 。。。。难怪我钱少的那么快。。不过无所谓啦,本来就打算攒到500就捐掉的,这回 : 在口袋里多捂了几天,干脆连整带零都捐了。 : 老是讲,做穷光蛋的感觉其实挺好的,从头开始啊!
|
n*2 发帖数: 19062 | 32 是啊。。。
【在 H********g 的大作中提到】 : 要是担心账号安全的话,可以专门用一个浏览器上mitbbs, : 把这个浏览器的javascript禁用掉。 : 这个人今天这么一说,这个漏洞可以被很多人利用了,我刚才就试了一次。 : 因为已经讲的很清楚了。
|
i*****s 发帖数: 15215 | 33 我没再出事,原来是没点别人的ID
【在 H********g 的大作中提到】 : 你点别人是你掉伪币,然后你的信息被修改,别人点你的时候,别人掉伪币,然后别人 : 的信息也被修改,就这么传染的。
|
i*****s 发帖数: 15215 | 34 没有,呵呵
【在 n*2 的大作中提到】 : 版大被扣了吗
|
i*****s 发帖数: 15215 | 35 我出了一次,改了之后就没再出现。
【在 a***a 的大作中提到】 : 版大的应该没有我猜。 : 我知道李冰的ID坚如磐石,没有受到攻击的说。
|
i*****s 发帖数: 15215 | 36 唉,这个还得学习才知道,不是码工没有信息权啊。
【在 H********g 的大作中提到】 : 要是担心账号安全的话,可以专门用一个浏览器上mitbbs, : 把这个浏览器的javascript禁用掉。 : 这个人今天这么一说,这个漏洞可以被很多人利用了,我刚才就试了一次。 : 因为已经讲的很清楚了。
|
a***a 发帖数: 12425 | 37 你这个特例太奇幻了。
就我自己而言,今天之前(还没有这个昵称/性别被改,伪币被偷事件),我改过我的
心情设置,也不记得点过别人的ID,可能点过自己的ID,可没过多久就又变回去了。
【在 i*****s 的大作中提到】 : 我出了一次,改了之后就没再出现。
|
I***i 发帖数: 14557 | 38 会者不难。。。我是难者不会
【在 H********g 的大作中提到】 : 要是担心账号安全的话,可以专门用一个浏览器上mitbbs, : 把这个浏览器的javascript禁用掉。 : 这个人今天这么一说,这个漏洞可以被很多人利用了,我刚才就试了一次。 : 因为已经讲的很清楚了。
|
i*****s 发帖数: 15215 | 39 我看帖回帖专心致志,不点别人的ID, 不干不相干的事,怎么说来的,态度决定一切
【在 a***a 的大作中提到】 : 你这个特例太奇幻了。 : 就我自己而言,今天之前(还没有这个昵称/性别被改,伪币被偷事件),我改过我的 : 心情设置,也不记得点过别人的ID,可能点过自己的ID,可没过多久就又变回去了。
|
a***a 发帖数: 12425 | 40 你今天如此伶牙俐齿,晚上吃啥好吃的啦?
【在 i*****s 的大作中提到】 : 我看帖回帖专心致志,不点别人的ID, 不干不相干的事,怎么说来的,态度决定一切
|
|
|
i*****s 发帖数: 15215 | 41 嗯,我也不会
【在 I***i 的大作中提到】 : 会者不难。。。我是难者不会
|
h*h 发帖数: 18873 | 42 只说了拿伪币,没说更改别人信息?这个“h01y.HERO.rules!“好像看到有段时间了。
有时会点别人,主要想看文章,或blog上,也是文章,我自己论坛发文,回贴,blog上
一点以前帖子(没2篇)公开,欢迎有兴趣翻。没想这么会中招。 |
m*****n 发帖数: 1076 | 43 我玩了一天游戏,没有上站,怎么还是损失了4伪币?
再来1个包子,我凑10个一起捐了 |
h*h 发帖数: 18873 | 44 呵,昵称狠强悍啊
【在 m*****n 的大作中提到】 : 我玩了一天游戏,没有上站,怎么还是损失了4伪币? : 再来1个包子,我凑10个一起捐了
|
a***a 发帖数: 12425 | 45 我也有过那个昵称。你这个我也有过
【在 h*h 的大作中提到】 : 呵,昵称狠强悍啊
|
y**u 发帖数: 7459 | 46 我终于可以登录了,来源地址还是不对。真讨厌,咒它明年破财。
【在 a***a 的大作中提到】 : 我也有过那个昵称。你这个我也有过
|