楼主:
bake088 (苦夏)
2007-06-25 16:06:01作者: weijr (weijr)
标题: 病毒示范
时间: Sun Jun 24 13:21:58 2007
连结: http://gaaan.com/BugReport?p=23804
标签:
有一些安全性的 bug,我在 test 板做了两个示范。
详细情形我 email 给站长了。
那两个示范本身无害,第一个只是让人点下去之后会推文,第二个则是鼠标滑过图的时候
会推文。所以其实还不太算是病毒。
但是其实可以把推文这个动作改成 po 文,送出密码、显示使用者名称、登出等等。
也可以删除文章,都是可以的。
恶意的使用方式是把连结写成“点选后显示多媒体资料”之类的东西。
所以系统讯息应该弄成无法伪造的,但是既然可以插图,好像也没有什么是真正不能伪造
的。
现在的这类 bbcode injection 会的人很多,所以大家在浏览的时候请小心。
web 2.0 的东西真的要小心一点。