L*******s
发帖数: 15925 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。) |
a********3
发帖数: 26787 | 2 啊。。。是真的嗎? 幾塊錢就不用還了,不過我清空了所有的信,一封都沒留。免得
給別人也添亂啊。
【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
b*s
发帖数: 82482 | 3 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。)
【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
a********3
发帖数: 26787 | 4 無辜哦。。。我也不是。。。
【在 b*s 的大作中提到】
: 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
:
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
|
b*s
发帖数: 82482 | 5 yeah yeah yeah
we all know that...
無辜哦。。。我也不是。。。
【在 a********3 的大作中提到】
: 無辜哦。。。我也不是。。。
|
b********n
发帖数: 16354 | 6 lol,太火眼精睛啦~~这么sharp小心被追杀哦~~
【在 b*s 的大作中提到】
: 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
:
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
|
a********3
发帖数: 26787 | 7 啊。。。你居然不信我。。。
【在 b*s 的大作中提到】
: yeah yeah yeah
: we all know that...
:
: 無辜哦。。。我也不是。。。
|
b*s
发帖数: 82482 | 8 据说黑道一般不跟我们这样的正派人计较...
p
lol,太火眼精睛啦~~这么sharp小心被追杀哦~~
【在 b********n 的大作中提到】
: lol,太火眼精睛啦~~这么sharp小心被追杀哦~~
|
b*s
发帖数: 82482 | 9 I am creduality reincarnated ...
啊。。。你居然不信我。。。
【在 a********3 的大作中提到】
: 啊。。。你居然不信我。。。
|
a********3
发帖数: 26787 | 10 切。。。切。。。連切兩刀。。。。
【在 b*s 的大作中提到】
: I am creduality reincarnated ...
:
: 啊。。。你居然不信我。。。
|
|
|
b*s
发帖数: 82482 | 11 这是感冒着凉了?
切。。。切。。。連切兩刀。。。。
【在 a********3 的大作中提到】
: 切。。。切。。。連切兩刀。。。。
|
b********n
发帖数: 16354 | 12 正派人....正派人....
据说黑道人都是这么自称的啊~~
【在 b*s 的大作中提到】
: 据说黑道一般不跟我们这样的正派人计较...
: p
:
: lol,太火眼精睛啦~~这么sharp小心被追杀哦~~
|
b********n
发帖数: 16354 | 13 哈哈,bless you~~
【在 b*s 的大作中提到】
: 这是感冒着凉了?
:
: 切。。。切。。。連切兩刀。。。。
|
a********3
发帖数: 26787 | 14 嗯嗯。。。
【在 b********n 的大作中提到】
: 正派人....正派人....
: 据说黑道人都是这么自称的啊~~
|
b*s
发帖数: 82482 | 15 黑道人明明都是自豪地自称江湖中人的……
正派人....正派人....
据说黑道人都是这么自称的啊~~
【在 b********n 的大作中提到】
: 正派人....正派人....
: 据说黑道人都是这么自称的啊~~
|
b********n
发帖数: 16354 | 16 今年流行洗白~~
【在 b*s 的大作中提到】
: 黑道人明明都是自豪地自称江湖中人的……
:
: 正派人....正派人....
: 据说黑道人都是这么自称的啊~~
|
b***e
发帖数: 15201 | 17 哇 这哥们是我同学阿。。。
哈哈 一起打wow的兄弟
【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
a********3
发帖数: 26787 | 18 啊,认识黑老大阿,哥,以后就罩一下我呗~~~
【在 b***e 的大作中提到】
: 哇 这哥们是我同学阿。。。
: 哈哈 一起打wow的兄弟
|
z*i
发帖数: 58873 | 19 现在都直接说求包养
【在 a********3 的大作中提到】
: 啊,认识黑老大阿,哥,以后就罩一下我呗~~~
|
b***e
发帖数: 15201 | 20 你是广电总局阿 怎莫还需要我来罩。。。。
都是毛人需要你来罩才对。。
【在 a********3 的大作中提到】
: 啊,认识黑老大阿,哥,以后就罩一下我呗~~~
|
|
|
a********3
发帖数: 26787 | 21 我倒~~~ 我呸~~~ 我我我。。。
【在 z*i 的大作中提到】
: 现在都直接说求包养
|
z*i
发帖数: 58873 | 22 娃呀,你咋了? 呵呵。
【在 a********3 的大作中提到】
: 我倒~~~ 我呸~~~ 我我我。。。
|
j*****x
发帖数: 18139 | 23 机器人太犀利啦,哈哈
【在 b*s 的大作中提到】
: 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
:
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
|
j******n
发帖数: 21641 | 24 Mitbbs漏洞是很多
有些我们不说,但我从来不干坏事。。
【在 b***e 的大作中提到】
: 哇 这哥们是我同学阿。。。
: 哈哈 一起打wow的兄弟
|
w***s
发帖数: 15642 | 25 真够无聊的。这两个版我从来不去,怎么也中招了?这个脚本貌似还影响了mitbbs的速
度,这两天web登录经常load不了。这种人还不封帐号么?
【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
|
a********3
发帖数: 26787 | 26 对阿,我也木有去过。。。
【在 w***s 的大作中提到】
: 真够无聊的。这两个版我从来不去,怎么也中招了?这个脚本貌似还影响了mitbbs的速
: 度,这两天web登录经常load不了。这种人还不封帐号么?
|
b***e
发帖数: 15201 | 27 去过的都自称没去过
我没去过只好出来承认下去过
【在 a********3 的大作中提到】
: 对阿,我也木有去过。。。
|
a********3
发帖数: 26787 | 28 哈哈,下次带上我呗~~~
【在 b***e 的大作中提到】
: 去过的都自称没去过
: 我没去过只好出来承认下去过
|
b***e
发帖数: 15201 | 29 Lol带你去干啥
去和谐3p毛文?
【在 a********3 的大作中提到】
: 哈哈,下次带上我呗~~~
|
a********3
发帖数: 26787 | 30 你咋这样啊,要看到人家的进步。。。
【在 b***e 的大作中提到】
: Lol带你去干啥
: 去和谐3p毛文?
|
|
|
c****0
发帖数: 14490 | 31 果子,据说如果点别人的id查看个人信息就会被扣伪币(web上网的才会中招)可能是
因为我们都手欠吧。。。
我不光点自己点别人,还轮流上小号互点。咳咳,然后杯具了。
【在 a********3 的大作中提到】
: 啊。。。你居然不信我。。。
|
l****i
发帖数: 20439 | 32 考古发现 你好像没看懂那个搞笑的3p文啊...
【在 a********3 的大作中提到】
: 你咋这样啊,要看到人家的进步。。。
|
b***e
发帖数: 15201 | 33 哈 奔一个我就信了
【在 a********3 的大作中提到】
: 你咋这样啊,要看到人家的进步。。。
|
a********3
发帖数: 26787 | 34 我的昵称被改了,然后点进去看自己的啊,发现改了,很生气,就再点了个别人的ID看
看,确认一下,瞬间就4块钱啊啊啊啊。
【在 c****0 的大作中提到】
: 果子,据说如果点别人的id查看个人信息就会被扣伪币(web上网的才会中招)可能是
: 因为我们都手欠吧。。。
: 我不光点自己点别人,还轮流上小号互点。咳咳,然后杯具了。
|
L*******s
发帖数: 15925 | 35 对了,你的流水帐里有虚拟形象奖励么?
【在 a********3 的大作中提到】
: 我的昵称被改了,然后点进去看自己的啊,发现改了,很生气,就再点了个别人的ID看
: 看,确认一下,瞬间就4块钱啊啊啊啊。
|
a********3
发帖数: 26787 | 36 啊。。。我当时只匆匆扫了一眼,风大也身手敏捷就删了。。。
就是某女和AB男啊。。。我miss了什么?
【在 l****i 的大作中提到】
: 考古发现 你好像没看懂那个搞笑的3p文啊...
|
c****0
发帖数: 14490 | 37 嘿,我居然有
不过我猜测是征文奖励,没点进去看,光心疼那几块钱去
【在 L*******s 的大作中提到】
: 对了,你的流水帐里有虚拟形象奖励么?
|
b***e
发帖数: 15201 | 38 为毛我一分钱都没少?
歧视我阿,吃果果的
【在 c****0 的大作中提到】
: 果子,据说如果点别人的id查看个人信息就会被扣伪币(web上网的才会中招)可能是
: 因为我们都手欠吧。。。
: 我不光点自己点别人,还轮流上小号互点。咳咳,然后杯具了。
|
c****0
发帖数: 14490 | 39 嗯
好笑的是,我的新马甲是没伪币的
然后点自己这号玩,就发现昵称被改成: Ahhh~potential customer~~
【在 a********3 的大作中提到】
: 我的昵称被改了,然后点进去看自己的啊,发现改了,很生气,就再点了个别人的ID看
: 看,确认一下,瞬间就4块钱啊啊啊啊。
|
l****i
发帖数: 20439 | 40 哦 看来你是miss掉了。
其实就是她在床上逗儿子玩,然后她老公闲得无聊...
【在 a********3 的大作中提到】
: 啊。。。我当时只匆匆扫了一眼,风大也身手敏捷就删了。。。
: 就是某女和AB男啊。。。我miss了什么?
|
|
|
a********3
发帖数: 26787 | 41 有哦。。。怎么想起来问这个?
很搞阿,有两次被评为什么每周一星。。。我以为是发文奖励。一直到上两周才整明白
是形象秀给的。
【在 L*******s 的大作中提到】
: 对了,你的流水帐里有虚拟形象奖励么?
|
c****0
发帖数: 14490 | 42 现在点的吗(⊙_⊙)?
现在好像不会了?咳咳,没敢再手欠,连自己都不敢点了,昨天每刷新一次自己信息,
都被扣一次╮(╯_╰)╭
或者你用的不是web登陆?
【在 b***e 的大作中提到】
: 为毛我一分钱都没少?
: 歧视我阿,吃果果的
|
b***e
发帖数: 15201 | 43 Lol小果子手起刀落
又多了三条冤魂
【在 l****i 的大作中提到】
: 哦 看来你是miss掉了。
: 其实就是她在床上逗儿子玩,然后她老公闲得无聊...
|
a********3
发帖数: 26787 | 44 什么什么。。。其中一个是儿子啊。。。我倒~~~ 说的是baby吗? 怪不得一开头B在。
。。
啊啊啊。。。想起来了。
求连接啊。 我都看什么了我。。。你怎么知道那个b说的是她儿子啊?好像没说啊。
【在 l****i 的大作中提到】
: 哦 看来你是miss掉了。
: 其实就是她在床上逗儿子玩,然后她老公闲得无聊...
|
b***e
发帖数: 15201 | 45 我不懂阿
肯能我从来不点个人信息
没有偷窥的欲望 haha
【在 c****0 的大作中提到】
: 现在点的吗(⊙_⊙)?
: 现在好像不会了?咳咳,没敢再手欠,连自己都不敢点了,昨天每刷新一次自己信息,
: 都被扣一次╮(╯_╰)╭
: 或者你用的不是web登陆?
|
a********3
发帖数: 26787 | 46 去~~~ 你不就是因为认识这个黑老大吗,你们是一伙的。。。
【在 b***e 的大作中提到】
: 我不懂阿
: 肯能我从来不点个人信息
: 没有偷窥的欲望 haha
|
l****i
发帖数: 20439 | 47 看第一段就知道她在玩什么噱头了呀...
【在 a********3 的大作中提到】
: 什么什么。。。其中一个是儿子啊。。。我倒~~~ 说的是baby吗? 怪不得一开头B在。
: 。。
: 啊啊啊。。。想起来了。
: 求连接啊。 我都看什么了我。。。你怎么知道那个b说的是她儿子啊?好像没说啊。
|
c****0
发帖数: 14490 | 48 哼哼╭(╯^╰)╮
【在 b***e 的大作中提到】
: 我不懂阿
: 肯能我从来不点个人信息
: 没有偷窥的欲望 haha
|
b***e
发帖数: 15201 | 49 啥黑老大..
我的土人师弟
不过技术还真不错
【在 a********3 的大作中提到】
: 去~~~ 你不就是因为认识这个黑老大吗,你们是一伙的。。。
|
a********3
发帖数: 26787 | 50 木有看出来。。。不过她确实提到B男比较年轻。。。
都什么乱七八糟的啊,搞了半天不是3P啊。。。
【在 l****i 的大作中提到】
: 看第一段就知道她在玩什么噱头了呀...
|
|
|
b*s
发帖数: 82482 | 51 俗话说,毛人见毛
木有看出来。。。不过她确实提到B男比较年轻。。。
都什么乱七八糟的啊,搞了半天不是3P啊。。。
【在 a********3 的大作中提到】
: 木有看出来。。。不过她确实提到B男比较年轻。。。
: 都什么乱七八糟的啊,搞了半天不是3P啊。。。
|
b*********k
发帖数: 35031 | 52 那我也miss了,我就看了标题,看了转来的版面,然后就果断上线准备警告风行了,然
后上来居然就看不见帖子了。。。
【在 l****i 的大作中提到】
: 看第一段就知道她在玩什么噱头了呀...
|
b***e
发帖数: 15201 | 53 不怪你
估计风行自己也miss了
本来想转3p结果发现不是就悲愤的删了
【在 b*********k 的大作中提到】
: 那我也miss了,我就看了标题,看了转来的版面,然后就果断上线准备警告风行了,然
: 后上来居然就看不见帖子了。。。
|
b*********k
发帖数: 35031 | 54 哈哈,圆生好体贴
【在 b***e 的大作中提到】
: 不怪你
: 估计风行自己也miss了
: 本来想转3p结果发现不是就悲愤的删了
|
