logo
Redian新闻
>未名空间
>LeisureTime - 读书听歌看电影
>
近期被改昵称,转WB的同学请进 (转载)
avatar
近期被改昵称,转WB的同学请进 (转载)# LeisureTime - 读书听歌看电影
L*s
1
【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。)
avatar
a*3
2
啊。。。是真的嗎? 幾塊錢就不用還了,不過我清空了所有的信,一封都沒留。免得
給別人也添亂啊。

【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
avatar
b*s
3
原来是sex和ebiz的成员被黑啊。还是我等正经人安全

【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意!
(遵循白帽原则,攻击细节在修复前暂不公开,如有必要,请技术站务联系我获取漏洞
详情和修复建议。)

【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
avatar
a*3
4
無辜哦。。。我也不是。。。

【在 b*s 的大作中提到】
: 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
:
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
avatar
b*s
5
yeah yeah yeah
we all know that...

無辜哦。。。我也不是。。。

【在 a********3 的大作中提到】
: 無辜哦。。。我也不是。。。
avatar
b*n
6
lol,太火眼精睛啦~~这么sharp小心被追杀哦~~

【在 b*s 的大作中提到】
: 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
:
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
avatar
a*3
7
啊。。。你居然不信我。。。

【在 b*s 的大作中提到】
: yeah yeah yeah
: we all know that...
:
: 無辜哦。。。我也不是。。。
avatar
b*s
8
据说黑道一般不跟我们这样的正派人计较...
p

lol,太火眼精睛啦~~这么sharp小心被追杀哦~~

【在 b********n 的大作中提到】
: lol,太火眼精睛啦~~这么sharp小心被追杀哦~~
avatar
b*s
9
I am creduality reincarnated ...

啊。。。你居然不信我。。。

【在 a********3 的大作中提到】
: 啊。。。你居然不信我。。。
avatar
a*3
10
切。。。切。。。連切兩刀。。。。

【在 b*s 的大作中提到】
: I am creduality reincarnated ...
:
: 啊。。。你居然不信我。。。
avatar
b*s
11
这是感冒着凉了?

切。。。切。。。連切兩刀。。。。

【在 a********3 的大作中提到】
: 切。。。切。。。連切兩刀。。。。
avatar
b*n
12
正派人....正派人....
据说黑道人都是这么自称的啊~~

【在 b*s 的大作中提到】
: 据说黑道一般不跟我们这样的正派人计较...
: p
:
: lol,太火眼精睛啦~~这么sharp小心被追杀哦~~
avatar
b*n
13
哈哈,bless you~~

【在 b*s 的大作中提到】
: 这是感冒着凉了?
:
: 切。。。切。。。連切兩刀。。。。
avatar
a*3
14
嗯嗯。。。

【在 b********n 的大作中提到】
: 正派人....正派人....
: 据说黑道人都是这么自称的啊~~
avatar
b*s
15
黑道人明明都是自豪地自称江湖中人的……

正派人....正派人....
据说黑道人都是这么自称的啊~~

【在 b********n 的大作中提到】
: 正派人....正派人....
: 据说黑道人都是这么自称的啊~~
avatar
b*n
16
今年流行洗白~~

【在 b*s 的大作中提到】
: 黑道人明明都是自豪地自称江湖中人的……
:
: 正派人....正派人....
: 据说黑道人都是这么自称的啊~~
avatar
b*e
17
哇 这哥们是我同学阿。。。
哈哈 一起打wow的兄弟

【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
avatar
a*3
18
啊,认识黑老大阿,哥,以后就罩一下我呗~~~

【在 b***e 的大作中提到】
: 哇 这哥们是我同学阿。。。
: 哈哈 一起打wow的兄弟
avatar
z*i
19
现在都直接说求包养

【在 a********3 的大作中提到】
: 啊,认识黑老大阿,哥,以后就罩一下我呗~~~
avatar
b*e
20
你是广电总局阿 怎莫还需要我来罩。。。。
都是毛人需要你来罩才对。。

【在 a********3 的大作中提到】
: 啊,认识黑老大阿,哥,以后就罩一下我呗~~~
avatar
a*3
21
我倒~~~ 我呸~~~ 我我我。。。

【在 z*i 的大作中提到】
: 现在都直接说求包养
avatar
z*i
22
娃呀,你咋了? 呵呵。

【在 a********3 的大作中提到】
: 我倒~~~ 我呸~~~ 我我我。。。
avatar
j*x
23
机器人太犀利啦,哈哈

【在 b*s 的大作中提到】
: 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
:
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
avatar
j*n
24
Mitbbs漏洞是很多
有些我们不说,但我从来不干坏事。。

【在 b***e 的大作中提到】
: 哇 这哥们是我同学阿。。。
: 哈哈 一起打wow的兄弟
avatar
w*s
25
真够无聊的。这两个版我从来不去,怎么也中招了?这个脚本貌似还影响了mitbbs的速
度,这两天web登录经常load不了。这种人还不封帐号么?

【在 L*******s 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
: 标 题: 近期被改昵称,转WB的同学请进
: 发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
: 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
: 偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
: 功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
: 因此余波还会持续一阵。
: 添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
: 有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
avatar
a*3
26
对阿,我也木有去过。。。

【在 w***s 的大作中提到】
: 真够无聊的。这两个版我从来不去,怎么也中招了?这个脚本貌似还影响了mitbbs的速
: 度,这两天web登录经常load不了。这种人还不封帐号么?
avatar
b*e
27
去过的都自称没去过
我没去过只好出来承认下去过

【在 a********3 的大作中提到】
: 对阿,我也木有去过。。。
avatar
a*3
28
哈哈,下次带上我呗~~~

【在 b***e 的大作中提到】
: 去过的都自称没去过
: 我没去过只好出来承认下去过
avatar
b*e
29
Lol带你去干啥
去和谐3p毛文?

【在 a********3 的大作中提到】
: 哈哈,下次带上我呗~~~
avatar
a*3
30
你咋这样啊,要看到人家的进步。。。

【在 b***e 的大作中提到】
: Lol带你去干啥
: 去和谐3p毛文?
avatar
c*0
31
果子,据说如果点别人的id查看个人信息就会被扣伪币(web上网的才会中招)可能是
因为我们都手欠吧。。。
我不光点自己点别人,还轮流上小号互点。咳咳,然后杯具了。

【在 a********3 的大作中提到】
: 啊。。。你居然不信我。。。
avatar
l*i
32
考古发现 你好像没看懂那个搞笑的3p文啊...

【在 a********3 的大作中提到】
: 你咋这样啊,要看到人家的进步。。。
avatar
b*e
33
哈 奔一个我就信了

【在 a********3 的大作中提到】
: 你咋这样啊,要看到人家的进步。。。
avatar
a*3
34
我的昵称被改了,然后点进去看自己的啊,发现改了,很生气,就再点了个别人的ID看
看,确认一下,瞬间就4块钱啊啊啊啊。

【在 c****0 的大作中提到】
: 果子,据说如果点别人的id查看个人信息就会被扣伪币(web上网的才会中招)可能是
: 因为我们都手欠吧。。。
: 我不光点自己点别人,还轮流上小号互点。咳咳,然后杯具了。
avatar
L*s
35
对了,你的流水帐里有虚拟形象奖励么?

【在 a********3 的大作中提到】
: 我的昵称被改了,然后点进去看自己的啊,发现改了,很生气,就再点了个别人的ID看
: 看,确认一下,瞬间就4块钱啊啊啊啊。
avatar
a*3
36
啊。。。我当时只匆匆扫了一眼,风大也身手敏捷就删了。。。
就是某女和AB男啊。。。我miss了什么?

【在 l****i 的大作中提到】
: 考古发现 你好像没看懂那个搞笑的3p文啊...
avatar
c*0
37
嘿,我居然有
不过我猜测是征文奖励,没点进去看,光心疼那几块钱去

【在 L*******s 的大作中提到】
: 对了,你的流水帐里有虚拟形象奖励么?
avatar
b*e
38
为毛我一分钱都没少?
歧视我阿,吃果果的

【在 c****0 的大作中提到】
: 果子,据说如果点别人的id查看个人信息就会被扣伪币(web上网的才会中招)可能是
: 因为我们都手欠吧。。。
: 我不光点自己点别人,还轮流上小号互点。咳咳,然后杯具了。
avatar
c*0
39

好笑的是,我的新马甲是没伪币的
然后点自己这号玩,就发现昵称被改成: Ahhh~potential customer~~

【在 a********3 的大作中提到】
: 我的昵称被改了,然后点进去看自己的啊,发现改了,很生气,就再点了个别人的ID看
: 看,确认一下,瞬间就4块钱啊啊啊啊。
avatar
l*i
40
哦 看来你是miss掉了。
其实就是她在床上逗儿子玩,然后她老公闲得无聊...

【在 a********3 的大作中提到】
: 啊。。。我当时只匆匆扫了一眼,风大也身手敏捷就删了。。。
: 就是某女和AB男啊。。。我miss了什么?
avatar
a*3
41
有哦。。。怎么想起来问这个?
很搞阿,有两次被评为什么每周一星。。。我以为是发文奖励。一直到上两周才整明白
是形象秀给的。

【在 L*******s 的大作中提到】
: 对了,你的流水帐里有虚拟形象奖励么?
avatar
c*0
42
现在点的吗(⊙_⊙)?
现在好像不会了?咳咳,没敢再手欠,连自己都不敢点了,昨天每刷新一次自己信息,
都被扣一次╮(╯_╰)╭
或者你用的不是web登陆?

【在 b***e 的大作中提到】
: 为毛我一分钱都没少?
: 歧视我阿,吃果果的
avatar
b*e
43
Lol小果子手起刀落
又多了三条冤魂

【在 l****i 的大作中提到】
: 哦 看来你是miss掉了。
: 其实就是她在床上逗儿子玩,然后她老公闲得无聊...
avatar
a*3
44
什么什么。。。其中一个是儿子啊。。。我倒~~~ 说的是baby吗? 怪不得一开头B在。
。。
啊啊啊。。。想起来了。
求连接啊。 我都看什么了我。。。你怎么知道那个b说的是她儿子啊?好像没说啊。

【在 l****i 的大作中提到】
: 哦 看来你是miss掉了。
: 其实就是她在床上逗儿子玩,然后她老公闲得无聊...
avatar
b*e
45
我不懂阿
肯能我从来不点个人信息
没有偷窥的欲望 haha

【在 c****0 的大作中提到】
: 现在点的吗(⊙_⊙)?
: 现在好像不会了?咳咳,没敢再手欠,连自己都不敢点了,昨天每刷新一次自己信息,
: 都被扣一次╮(╯_╰)╭
: 或者你用的不是web登陆?
avatar
a*3
46
去~~~ 你不就是因为认识这个黑老大吗,你们是一伙的。。。

【在 b***e 的大作中提到】
: 我不懂阿
: 肯能我从来不点个人信息
: 没有偷窥的欲望 haha
avatar
l*i
47
看第一段就知道她在玩什么噱头了呀...

【在 a********3 的大作中提到】
: 什么什么。。。其中一个是儿子啊。。。我倒~~~ 说的是baby吗? 怪不得一开头B在。
: 。。
: 啊啊啊。。。想起来了。
: 求连接啊。 我都看什么了我。。。你怎么知道那个b说的是她儿子啊?好像没说啊。
avatar
c*0
48
哼哼╭(╯^╰)╮

【在 b***e 的大作中提到】
: 我不懂阿
: 肯能我从来不点个人信息
: 没有偷窥的欲望 haha
avatar
b*e
49
啥黑老大..
我的土人师弟
不过技术还真不错

【在 a********3 的大作中提到】
: 去~~~ 你不就是因为认识这个黑老大吗,你们是一伙的。。。
avatar
a*3
50
木有看出来。。。不过她确实提到B男比较年轻。。。
都什么乱七八糟的啊,搞了半天不是3P啊。。。

【在 l****i 的大作中提到】
: 看第一段就知道她在玩什么噱头了呀...
avatar
b*s
51
俗话说,毛人见毛

木有看出来。。。不过她确实提到B男比较年轻。。。
都什么乱七八糟的啊,搞了半天不是3P啊。。。

【在 a********3 的大作中提到】
: 木有看出来。。。不过她确实提到B男比较年轻。。。
: 都什么乱七八糟的啊,搞了半天不是3P啊。。。
avatar
b*k
52
那我也miss了,我就看了标题,看了转来的版面,然后就果断上线准备警告风行了,然
后上来居然就看不见帖子了。。。

【在 l****i 的大作中提到】
: 看第一段就知道她在玩什么噱头了呀...
avatar
b*e
53
不怪你
估计风行自己也miss了
本来想转3p结果发现不是就悲愤的删了

【在 b*********k 的大作中提到】
: 那我也miss了,我就看了标题,看了转来的版面,然后就果断上线准备警告风行了,然
: 后上来居然就看不见帖子了。。。
avatar
b*k
54
哈哈,圆生好体贴

【在 b***e 的大作中提到】
: 不怪你
: 估计风行自己也miss了
: 本来想转3p结果发现不是就悲愤的删了
相关阅读
世博会是个巨大的骗局(转载)seriously夜风里的玫瑰--水木年华 (转载)读红楼梦20遍后的感受喜欢穆荷兰道的看过来了 (转载)《迫在眉梢》的疑问不一样的韩剧周末影院:海洋天堂朗读者这部电影很不错军训的时候吃过这个 (转载)Re: 南非风打打油,2 (转载)哈哈 看到王小波这个照片 我忍不住地笑这张照片很有意思看翻译还是看原版,这是个问题【预告】(周五)明晚直播中秋唱歌听歌游戏唠嗑大堂会 (转载)全站暑期(7~8月)水枪排名 (转载)南非之行,打打油,1 (转载)The Girl with the Dragon Tattoo读后感南非风景打打油,2 (转载)推荐几个Stephen King的audio books
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。