Redian新闻
>
举报一下本站的若干漏洞
avatar
举报一下本站的若干漏洞# Security - 系统安全
q*u
1
【 以下文字转载自 sysop 讨论区 】
发信人: T070506 (LoveWhoWho), 信区: sysop
标 题: 举报一下本站的若干漏洞
发信站: BBS 未名空间站 (Sat May 26 21:29:36 2007), 转信
对于user provided image link不做检验。比如如果一篇文章里有
http://mitbbs.com/logout?a.gif
那么任何用Web阅读到此文的人将会立刻被踢出去。
当然logout关系不太大。但是相同的trick可以用到很多地方。
比如 http://mitbbs.com/ZhuanTie?src=A&target=B
Web用户将毫不知情地以自己的名义把文章A转到B版。
如果文章A本身就含有这种link, 那么转贴后的文章C也有,
点到文章C的用户又不知情地参与了转贴。
经过精心策划攻击者可以发起一个雪崩效应,把一篇文章
用无数用户的身份转贴到无数的版面。
如果攻击者以用户的身份干其他的事情,那损失就更严重了。
相关阅读
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。