百度XSS漏洞解析

阿星 · 发表于 2014-3-10 10:46:05

从去年到现在
我印象当中百度贴吧爆发过4次XSS漏洞
然后导致被吧友利用，造成大规模类似爆吧的效果

其实所谓的代码爆吧就是利用一个JS文件，控制浏览过帖子的人

第一次：那次是面包虫发现的，那时候XSS“病毒”帖子在全贴吧传染，魔兽世界、李毅吧、等尤为严重
【这次是你点击了帖子就会转帖，然后在你喜欢的贴吧进行转帖】

第二次：这次我印象不大深

第三次：也就是梦殇国际 @华彩篇章在火影忍者吧弄的https://www.714.hk/msi-16944-1-1.html

【动静不大，不过时间长，好像是他个人弄了两天，最屌的是可以下吧主，一个大吧就被下了】

第四次：也就是昨天（2014年3月9日），这次的影响也不是很大，但是在我们社区反应挺大的
【华丽在下午发现了，但是可惜他没有立马行动，吃饭回来代码已经不给力了】

其实这个代码的话，只是会控制你的帐号，除了这个其他一般不会有什么问题
不用过分的担心其安全性的
通过昨天的事情，我感觉有些事情就是要趁早，晚了就~

虽然已经失效，还是给你们看看操作步骤吧
在test转帖，输入个代码
https://www.714.hk/msi-19397-1-1.html
(出处: 梦殇国际 MSI)