【贴吧最严重警告】请不要点击任何标题奇怪的帖子!!!!!!
beining 4734阅读
我们已经注意到百度贴吧的一个存储型XSS大爆发。
目前该漏洞只会让您发帖,但是由于漏洞性质,这个漏洞可以被盗号木马利用,造成账号丢失。
-----
请不要点击任何标题带奇怪字符的帖子,防止中招。
您也可以在浏览器中禁止任何Javascript运行,这可以保证安全,但会导致网页不正常。
同时,如果您有能力,建议您将所有涉及的域名于hosts中封禁:
在hosts文件中添加:
127.0.0.1
xss.tw
127.0.0.1
txsh.sdapp.cn
127.0.0.1
xss.retaker.me
请注意,即使如此操作,由于该漏洞的性质,仍然无法保证完全安全。
------
如果您已经中招,请停止浏览贴吧,立即绑定手机或邮箱,并马上修改密码。
------
该漏洞的原因,据我们初步分析,是由于贴吧对于标题的转义过滤不严,造成存储型XSS。
更详细的事件报告可以参阅 | 网页链接
攻击源码可以参见 | 网页链接
(简单解释:如果在3级以上,在贴吧监控吧,取喜欢的贴吧,发送带有转义字符的漏洞帖子。)
-----
ACI中文字幕组技术部公告
4734阅读
看不懂这是什么。。。不过谢谢提醒。。。
往后君 2013-05-19 14:28:55
1
在好几个吧都被提醒不要点开,和通过管理模式发帖,亏了这种贴泛滥时我在睡觉。。
波音 2013-05-19 15:51:46
3
要了命了,百度摊上大事了。
wtcui 2013-05-20 06:20:47
5
MAYDAY MAYDAY MAYDAY~~~
火星539 2013-05-21 09:54:57
8
今天xss大爆发了。。全贴吧几近瘫痪
PC用户端登陆后进入贴吧 点击名字奇怪的贴 都会悲剧。。
whentimeaway 2013-06-12 13:14:27
9
@whentimeaway 擦。。。又来。。。
代码有审计没有。。。
beining 2013-06-12 15:30:12
10
请 登录 后发表评论