【贴吧最严重警告】请不要点击任何标题奇怪的帖子!!!!!!

By beining ACI中文字幕组 at 2013-05-19 13:59:06 • 2425点击

我们已经注意到百度贴吧的一个存储型XSS大爆发。

目前该漏洞只会让您发帖,但是由于漏洞性质,这个漏洞可以被盗号木马利用,造成账号丢失。
-----
请不要点击任何标题带奇怪字符的帖子,防止中招。

您也可以在浏览器中禁止任何Javascript运行,这可以保证安全,但会导致网页不正常。

同时,如果您有能力,建议您将所有涉及的域名于hosts中封禁:

在hosts文件中添加:

127.0.0.1 xss.tw
127.0.0.1 txsh.sdapp.cn
127.0.0.1 xss.retaker.me

请注意,即使如此操作,由于该漏洞的性质,仍然无法保证完全安全。
------
如果您已经中招,请停止浏览贴吧,立即绑定手机或邮箱,并马上修改密码。
------
该漏洞的原因,据我们初步分析,是由于贴吧对于标题的转义过滤不严,造成存储型XSS。

更详细的事件报告可以参阅http://www.wooyun.org/bugs/wooyun-2013-024106

攻击源码可以参见http://www.guokr.com/question/464747/
(简单解释:如果在3级以上,在贴吧监控吧,取喜欢的贴吧,发送带有转义字符的漏洞帖子。)
-----
ACI中文字幕组技术部公告

10 回复 | 直到 2013-06-12 15:30:12

看不懂这是什么。。。不过谢谢提醒。。。

往后君 at 2013-05-19 14:28:55
1

@往后君 简单一句话:

别点!

beining ACI中文字幕组 at 2013-05-19 14:35:09
2

在好几个吧都被提醒不要点开,和通过管理模式发帖,亏了这种贴泛滥时我在睡觉。。

波音 at 2013-05-19 15:51:46
3

@波音 我查查水表去。。。

beining ACI中文字幕组 at 2013-05-19 16:26:02
4

要了命了,百度摊上大事了。

wtcui at 2013-05-20 06:20:47
5

@wtcui 有点不能理解,为什么百度会在这么明显的地方犯低级错误。。。

beining ACI中文字幕组 at 2013-05-20 13:29:58
6

@beining 懂了

往后君 at 2013-05-21 08:45:42
7

MAYDAY MAYDAY MAYDAY~~~

火星539 at 2013-05-21 09:54:57
8

今天xss大爆发了。。全贴吧几近瘫痪
PC用户端登陆后进入贴吧 点击名字奇怪的贴 都会悲剧。。

whentimeaway at 2013-06-12 13:14:27
9

@whentimeaway 擦。。。又来。。。
代码有审计没有。。。

beining ACI中文字幕组 at 2013-06-12 15:30:12
10
登录 后发表评论