h*h
发帖数: 18873 | 1 【 以下文字转载自 Animals 讨论区 】
发信人: HolyDrWang (叽喳喳), 信区: Animals
标 题: !!!所有昵称被改的ID请注意!!! (转载)
发信站: BBS 未名空间站 (Wed Dec 5 15:22:36 2012, 美东)
发信人: maogou (I shall be your eyes!), 信区: ebiz
标 题: !!!所有昵称被改的ID请注意!!!
发信站: BBS 未名空间站 (Wed Dec 5 15:05:00 2012, 美东)
查你们的伪币流水账
昵称每改一次,就被扣一伪币:
-1.00 您转给HERO之君子庐俱乐部(HEROGG),现金(伪币):1
大家截好图留好底,找版务去。
顺便给俺发个包子,俺挽回了你们的损失。 哈 |
h*h
发帖数: 18873 | 2 心情变成: (h01y.HERO.rules!) |
S********t
发帖数: 18987 | 3 明显HEROGG是个黑客账户,
h01y.HERO.rules= Holy hero rules
holy hero是他的称号,很常见的黑客拼写
mitbbs被黑了 |
h*h
发帖数: 18873 | 4 还有个俱乐部。
【在 S********t 的大作中提到】
: 明显HEROGG是个黑客账户,
: h01y.HERO.rules= Holy hero rules
: holy hero是他的称号,很常见的黑客拼写
: mitbbs被黑了
|
r*****e
发帖数: 4598 | |
h*h
发帖数: 18873 | |
z*********n
发帖数: 94654 | 7 我觉得他没有hack密码
就是找到了某些api的漏洞,比如找到一些post,不需要是你本人也能post参数修改个人
信息之类的
很可能就是老刑的code太屎了
【在 h*h 的大作中提到】
: 改了密码,投诉一下:
: http://www.mitbbs.com/article_t0/Complain/31303849.html
: 希望有帮助。
|
h*h
发帖数: 18873 | 8 好像是,刚改密码,没用。
【在 z*********n 的大作中提到】
: 我觉得他没有hack密码
: 就是找到了某些api的漏洞,比如找到一些post,不需要是你本人也能post参数修改个人
: 信息之类的
: 很可能就是老刑的code太屎了
|
S********t
发帖数: 18987 | 9 看症状是用户做了昵称修改就会自动中招,
老腥的服务器端可能被感染了。也许中了木马之类
【在 z*********n 的大作中提到】
: 我觉得他没有hack密码
: 就是找到了某些api的漏洞,比如找到一些post,不需要是你本人也能post参数修改个人
: 信息之类的
: 很可能就是老刑的code太屎了
|
z*********n
发帖数: 94654 | 10 我以为老刑用的是linux呢,以前好像是
难道现在也转到瘟倒死了
【在 S********t 的大作中提到】
: 看症状是用户做了昵称修改就会自动中招,
: 老腥的服务器端可能被感染了。也许中了木马之类
|
|
|
S********t
发帖数: 18987 | 11 应该还是linux+php
老刑这里一切皆有可能
【在 z*********n 的大作中提到】
: 我以为老刑用的是linux呢,以前好像是
: 难道现在也转到瘟倒死了
|
r*****e
发帖数: 4598 | 12 为神马夜色的被改的和别人不一样尼
个人说明档(心情:撸管还是扯蛋?)
Many ppl are still alive only because it's illegal to shoot them
【在 S********t 的大作中提到】
: 应该还是linux+php
: 老刑这里一切皆有可能
|
r*****e
发帖数: 4598 | 13 肥猫你得昵称是被自动修改的
随即在水板sample了10个ID 有2个中招 20% 过了material level了吧 |
A**A
发帖数: 3392 | 14 夜色这个是他自己设的吧,没被改
我的心情被改了 :(
【在 r*****e 的大作中提到】
: 为神马夜色的被改的和别人不一样尼
: 个人说明档(心情:撸管还是扯蛋?)
: Many ppl are still alive only because it's illegal to shoot them
|
A**A
发帖数: 3392 | |
T*********e
发帖数: 39815 | 16 还是telnet安全
【在 A**A 的大作中提到】
: 晕啊,刚一看自己的,啥都被改了。。。
|
A**A
发帖数: 3392 | 17 hengheng, changed back :)
【在 T*********e 的大作中提到】
: 还是telnet安全
|
T*********e
发帖数: 39815 | 18 当心改回来的时候又丢1伪币
【在 A**A 的大作中提到】
: hengheng, changed back :)
|
S********t
发帖数: 18987 | 19 我真倒霉,你干吗拿我下刀,赔包子吧
【在 r*****e 的大作中提到】
: 肥猫你得昵称是被自动修改的
: 随即在水板sample了10个ID 有2个中招 20% 过了material level了吧
|
g*********o
发帖数: 20357 | |
|
|
h*******o
发帖数: 1114 | |
h*h
发帖数: 18873 | 22 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
r*****e
发帖数: 4598 | 23 你先被改的我才看见的好不好
给你俩包子补偿心情 呵呵
★ 发自iPhone App: ChineseWeb 7.7
【在 S********t 的大作中提到】
: 我真倒霉,你干吗拿我下刀,赔包子吧
|
k********y
发帖数: 2562 | 24 俺的呢称也被改了;刚改回来;不知道是不是被扣了伪币;俺已经很穷了;SIGH;
【在 h*h 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
