举报一下本站的若干漏洞 - Security版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Security版 - 举报一下本站的若干漏洞

相关主题
● 拒绝背后黑手的窥探 IPC$漏洞大揭秘	● Oracle 9iAS SOAP默认配置漏洞
● [转载] 微软INTERNET 信息服务器 (IIS)安全隐患	● Phpprojekt存在远程文件包含漏洞
● [转载] 弱账号，口令	● 请问是不是有个专门网站提供各知名网站的漏洞？
● yahoo messenger 安全吗?	● Solaris 10 Telnet漏洞
● 网站被DoS攻击该怎么办???	● 【问】哪里有最新的各种操作系统的漏洞发布网站？
● Windows今天早上发布的安全补丁需要下载吗？	● 没有人讨论偷钱的事情？
● 如何 block anonymous login	● Q币犯罪产业链
● 请教两个问题	● 电话收到信息说window升级有漏洞

相关话题的讨论汇总
话题: 用户话题: web话题: 转贴话题: 文章话题: 攻击者

进入Security版参与讨论

(共1页)

q**u
发帖数: 12289

【以下文字转载自 sysop 讨论区】
发信人: T070506 (LoveWhoWho), 信区: sysop
标题: 举报一下本站的若干漏洞
发信站: BBS 未名空间站 (Sat May 26 21:29:36 2007), 转信
对于user provided image link不做检验。比如如果一篇文章里有
http://mitbbs.com/logout?a.gif
那么任何用Web阅读到此文的人将会立刻被踢出去。
当然logout关系不太大。但是相同的trick可以用到很多地方。
比如 http://mitbbs.com/ZhuanTie?src=A&target=B
Web用户将毫不知情地以自己的名义把文章A转到B版。
如果文章A本身就含有这种link, 那么转贴后的文章C也有，
点到文章C的用户又不知情地参与了转贴。
经过精心策划攻击者可以发起一个雪崩效应，把一篇文章
用无数用户的身份转贴到无数的版面。
如果攻击者以用户的身份干其他的事情，那损失就更严重了。

(共1页)

进入Security版参与讨论

相关主题
● 电话收到信息说window升级有漏洞	● 网站被DoS攻击该怎么办???
● whereis BF?	● Windows今天早上发布的安全补丁需要下载吗？
● help!如何把Solaris 2.5下的用户移植到Solaris 2.7下?	● 如何 block anonymous login
● Web application project estimation	● 请教两个问题
● 拒绝背后黑手的窥探 IPC$漏洞大揭秘	● Oracle 9iAS SOAP默认配置漏洞
● [转载] 微软INTERNET 信息服务器 (IIS)安全隐患	● Phpprojekt存在远程文件包含漏洞
● [转载] 弱账号，口令	● 请问是不是有个专门网站提供各知名网站的漏洞？
● yahoo messenger 安全吗?	● Solaris 10 Telnet漏洞

相关话题的讨论汇总
话题: 用户话题: web话题: 转贴话题: 文章话题: 攻击者

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天