s******n 发帖数: 793 | 1 实在太简单了
主要是这个网站支持用get方法转贴
这样只要图片返成:
HTTP/1.1 302 Moved Temporarily
Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?.........
Content-Type: text/html
Content-Length: 0
就可以自动转贴了,因为你看图的时间
浏览器会自动连接图片里设置的Location
这样基本是想转哪就是哪了...
呵呵,我也可以写个来害人啦...几分钟时间就可以把代码写好...
1. 读下REFERER,知道文章号,版...
2. 生成转贴连接
3. bingo.... |
T*********e 发帖数: 39815 | 2 你抢了dsb的生意
lol
【在 s******n 的大作中提到】 : 实在太简单了 : 主要是这个网站支持用get方法转贴 : 这样只要图片返成: : HTTP/1.1 302 Moved Temporarily : Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?......... : Content-Type: text/html : Content-Length: 0 : 就可以自动转贴了,因为你看图的时间 : 浏览器会自动连接图片里设置的Location : 这样基本是想转哪就是哪了...
|
t*n 发帖数: 14458 | 3 看不懂x
实在太简单了
主要是这个网站支持用get方法转贴
这样只要图片返成:
HTTP/1.1 302 Moved Temporarily
Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?.........
Content-Type: text/html
Content-Length: 0
就可以自动转贴了,因为你看图的时间
浏览器会自动连接图片里设置的Location
这样基本是想转哪就是哪了...
呵呵,我也可以写个来害人啦...几分钟时间就可以把代码写好...
1. 读下REFERER,知道文章号,版...
2. 生成转贴连接
3. bingo....
【在 s******n 的大作中提到】 : 实在太简单了 : 主要是这个网站支持用get方法转贴 : 这样只要图片返成: : HTTP/1.1 302 Moved Temporarily : Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?......... : Content-Type: text/html : Content-Length: 0 : 就可以自动转贴了,因为你看图的时间 : 浏览器会自动连接图片里设置的Location : 这样基本是想转哪就是哪了...
|
x**y 发帖数: 10012 | 4 wocao...
居然近来都没判断是否可以get...
【在 s******n 的大作中提到】 : 实在太简单了 : 主要是这个网站支持用get方法转贴 : 这样只要图片返成: : HTTP/1.1 302 Moved Temporarily : Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?......... : Content-Type: text/html : Content-Length: 0 : 就可以自动转贴了,因为你看图的时间 : 浏览器会自动连接图片里设置的Location : 这样基本是想转哪就是哪了...
|
s******n 发帖数: 793 | 5 居然你们搞半天还没搞好啊,我上站几分钟就研究出来了 |
T*********e 发帖数: 39815 | 6 wrong
能看懂的都偷偷下去写script去了
【在 s******n 的大作中提到】 : 居然你们搞半天还没搞好啊,我上站几分钟就研究出来了
|
s******n 发帖数: 793 | 7 这个玩意要封也简单, 把哪些get方法的封掉就行了...
站长你们程序员太差了点吧 |
l****t 发帖数: 36289 | 8 嗯,抢dsb的赏钱 :(
【在 T*********e 的大作中提到】 : 你抢了dsb的生意 : lol
|
g*****g 发帖数: 34805 | 9 你说得有道理,就是因为支持get方法转贴引起的,用post就没事了。
我也是想了半天,觉得外部的image实在不能引起XSS.
【在 s******n 的大作中提到】 : 实在太简单了 : 主要是这个网站支持用get方法转贴 : 这样只要图片返成: : HTTP/1.1 302 Moved Temporarily : Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?......... : Content-Type: text/html : Content-Length: 0 : 就可以自动转贴了,因为你看图的时间 : 浏览器会自动连接图片里设置的Location : 这样基本是想转哪就是哪了...
|
p*******n 发帖数: 523 | 10 re
【在 s******n 的大作中提到】 : 实在太简单了 : 主要是这个网站支持用get方法转贴 : 这样只要图片返成: : HTTP/1.1 302 Moved Temporarily : Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?......... : Content-Type: text/html : Content-Length: 0 : 就可以自动转贴了,因为你看图的时间 : 浏览器会自动连接图片里设置的Location : 这样基本是想转哪就是哪了...
|
|
|
g*****g 发帖数: 34805 | 11 刚才查了一下,转贴是用post方法的呀。
【在 s******n 的大作中提到】 : 实在太简单了 : 主要是这个网站支持用get方法转贴 : 这样只要图片返成: : HTTP/1.1 302 Moved Temporarily : Location: http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?......... : Content-Type: text/html : Content-Length: 0 : 就可以自动转贴了,因为你看图的时间 : 浏览器会自动连接图片里设置的Location : 这样基本是想转哪就是哪了...
|
l*r 发帖数: 79569 | 12 谁给俺pre-幼儿园水平的讲讲post和get的区别? |
s*****a 发帖数: 3693 | |
m**t 发帖数: 98 | 14 根本没用。
【在 g*****g 的大作中提到】 : 你说得有道理,就是因为支持get方法转贴引起的,用post就没事了。 : 我也是想了半天,觉得外部的image实在不能引起XSS.
|
l*r 发帖数: 79569 | 15 Thanks
"Is one of the fields a file/ are you uploading a file? Use a POST"
什么意思?是完全基于安全的考虑吗?是不是说用POST的话,就无法在location里包括
完整的query link?
(不好意思,俺pre-K水平,问题水了点)
【在 s*****a 的大作中提到】 : http://allmyfaqs.net/faq.pl?Difference_between_POST_and_GET
|
s****n 发帖数: 786 | 16 最基础的http都没意识到,3k的钱白花了
【在 s******n 的大作中提到】 : 这个玩意要封也简单, 把哪些get方法的封掉就行了... : 站长你们程序员太差了点吧
|
s******n 发帖数: 793 | 17 我昏...网面上用的POST,你就以为只支持POST了啊
他是POST/GET都支持, 两个通用的..
http://www.mitbbs.com/cgi-bin/bbs/mitbbs_bbsccc?board=Sysop&id=31206629&target=Test
这个就可以把这文章转到Test去了
不知道程序改了没有,刚才反正是可以的.呵呵
【在 g*****g 的大作中提到】 : 刚才查了一下,转贴是用post方法的呀。
|