作者: weijr (weijr)
標題: 病毒示範
時間: Sun Jun 24 13:21:58 2007
連結: http://gaaan.com/BugReport?p=23804
標籤:
有一些安全性的 bug,我在 test 板做了兩個示範。
詳細情形我 email 給站長了。
那兩個示範本身無害,第一個只是讓人點下去之後會推文,第二個則是滑鼠滑過圖的時候
會推文。所以其實還不太算是病毒。
但是其實可以把推文這個動作改成 po 文,送出密碼、顯示使用者名稱、登出等等。
也可以刪除文章,都是可以的。
惡意的使用方式是把連結寫成「點選後顯示多媒體資料」之類的東西。
所以系統訊息應該弄成無法偽造的,但是既然可以插圖,好像也沒有什麼是真正不能偽造
的。
現在的這類 bbcode injection 會的人很多,所以大家在瀏覽的時候請小心。
web 2.0 的東西真的要小心一點。