有个白痴想在这挂马...

YsMilan

http://equn.com/forum/thread-12934-8-1.html
一看有人挖坟,翻到最后一看:

我那个寒啊...白痴吗

airwolfliu

什么意思？

YsMilan

原帖由 airwolfliu 于 2007-7-20 23:30 发表
什么意思？

Discuz!5.5的漏洞

Discuz! 5.5 跨站问题修补 [ For 0324 ]
由于论坛在处理 Discuz! 代码时，没有严格过滤用户输入内容，可导致部分用户利用这一 BUG 发布恶意代码。

观看这种帖子的时候，恶意代码会对论坛里使用 IE 浏览器的会员造成威胁，对 FireFox 以及其他浏览器用户无效。

usafchn

78楼。。。。。已经没有了。。。

usafchn

好像真的有这么个漏洞。。。

usafchn

[float=expression(alert('与大家开个玩笑'))]usafchn

airwolfliu

还好我不用IE~~

老冬腌菜

用 tt 看到这么写东西……
[float=expression(alert('与大家开个玩笑'))]usafchn
难道是因为tt在安全性上比ie好？

usafchn

我也不知道这到底是怎么回事，貌似这个漏洞一定要用新帖。。。。
我用ie7 看到的也是  “[float=expression(alert('与大家开个玩笑'))]usafchn”



但我发帖的时候 打的是这句话 “[float=expression(alert('与大家开个玩笑'))]usafchn"

最后那个居然没显示出来。。。


但有一点可以确定，这个对tt是有威胁的。。。

usafchn

我寒。。。原话又没显示出来

【float=expression(alert('与大家开个玩笑'))】 usafchn 【/float】

我用【】代替了[] 不知道这次会不会全部显示出来

amdhorus

原帖由 usafchn 于 2007-7-21 20:14 发表
我寒。。。原话又没显示出来

【float=expression(alert('与大家开个玩笑'))】 usafchn 【/float】

我用【】代替了[] 不知道这次会不会全部显示出来

你可以用

1. [float=expression(alert('与大家开个玩笑'))]usafchn [/float]

复制代码

看不到是因為打了補丁

[ 本帖最后由 amdhorus 于 2007-7-24 03:13 编辑 ]

砜

测试一下

......................

dior

你好! 我的站也被人挂了上面的代码   请问所谓的造成威胁是什么样的威胁呢? 谢谢!

usafchn

原帖由 dior 于 2007-8-3 22:19 发表
你好! 我的站也被人挂了上面的代码   请问所谓的造成威胁是什么样的威胁呢? 谢谢!

敢问一下您是哪个站的站长，愿我能给您带来微小的流量。


至于威胁，我想与前些天流行的 ani 的道理差不多，它本身没有威胁。


但是比如如下的代码

1. [float=expression(window.location="http://www.shareus.com.cn/")]xxxxxxxxx[/float]

复制代码

任何人访问了这张页面，（页面还没完全显示时）浏览器就被强行转向了 www.shareus.com.cn
至于转向的网页，如果是个正常网页（比如www.shareus.com.cn），则完全没事情，但一般的黑客（他们不配当黑客，暂且这么称呼）必定指向的是一个病毒网页，所以他在病毒网页里放了什么木马，威胁就是什么了。


还有一种，如

1. [float=expression(alert('欢迎访问[url]www.shareus.com.cn[/url]'))]xxxxxxxxxx[/float]

复制代码

则是在打开页面时弹出一个对话框，内容是单引号中的内容（即欢迎访问www.shareus.com.cn），不会跳转其它网页。


只对Discuz! 5.5.0有效！

插个广告：
         www.shareus.com.cn
~~~~~~~share mind,share us~~~~~~   

好了，讲得够白痴了，
谁不懂中文的话，那位BiscuiT大牛会把上面文字翻译成喵喵文的~~~~~~飘过~~~~

Julian_Yuen

并非不懂中文的就会懂喵喵文，这个逻辑不成立。

嗯，把上面这句翻译了就是:

喵喵喵喵喵喵喵喵喵喵喵喵喵，喵喵喵喵喵喵喵。