近期被改昵称，转WB的同学请进 (转载) - 未名空间MITBBS历史存档

近期被改昵称，转WB的同学请进 (转载)# Stock

l*m2012-12-06 08:12

1 楼

【以下文字转载自 MoneyFriends 俱乐部】
发信人: cappucino (the color not the coffee), 信区: MoneyFriends
标题: 近期被改昵称，转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Thu Dec 6 00:39:36 2012, 美东)
【以下文字转载自 WashingtonDC 讨论区】
发信人: mmyych1 (Now we are one!), 信区: WashingtonDC
标题: 近期被改昵称，转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Thu Dec 6 00:25:50 2012, 美东)
发信人: leooooo (有多远滚多远), 信区: PennySaver
标题: 近期被改昵称，转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:22:39 2012, 美东)
发信人: Holyclayman (俺有罪，俺悔过), 信区: sysop
标题: 近期被改昵称，转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候，写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版（昨天发布）里加了个转帐1WB到HEROGG俱乐部的
功能，现在已经下线，但由于host攻击脚本的google服务器还会cache一天左右时间，
因此余波还会持续一阵。
添加转账功能纯属娱乐，不是想偷大家的WB，更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生，给各位网友（特别是众多ebiz版
和sex版的ID们）造成很多不便，非常抱歉！请被盗ID截屏私信我，我会用个人WB作出
赔付，谢谢！
担心WB持续被盗的同学：
请在一天内不要点击其他用户的个人简介，一天后脚本在google服务器的cache时间结
束后，应该就恢复正常了。（您的帐号密码是安全的，目前情况下我没有办法获取您的
这些信息，也没有劫持cookie，虽然后者是XSS可以做到的。）
避免自己的个人信息页影响其他人：
请修改个人联系方式：http://www.mitbbs.com/mitbbs_user_info3.php，清空MSN帐号里的信息即可。
再一次向受到影响的同学们表示歉意！
（遵循白帽原则，攻击细节在修复前暂不公开，如有必要，请技术站务联系我获取漏洞
详情和修复建议。）