此次事件传播甚广,源头是某吧和另一吧吵架,然后就怒了,然后那孩子就放出了一个xss,点击帖子后,会自动在自己关注的贴吧中转发这个帖子,于是...越来越多贴吧受伤。
xss是一个简称,在安全界,我们称之为跨站漏洞,学名跨站脚本攻击(Cross Site Scripting),属于百度的漏洞被人利用。
从这个标题中可以看出,点囘击后,用户电脑会运行xss.【和谐】retaker【和谐】.me这个网站里的1.js文件,js文件是一种在网页里运行的脚本程序。
不过很可惜,我来晚了,当我看到后就准备去源网站下载一份1.js分析一下,但是源网站已经将该文件删除。
不过可以庆幸的是,这个js的作者没有把下载病毒的功能添加上,否则今天将是一个网络灾难日。
试想,按照今天的传播速度,可能在一个小时内,中囘国30%的个人电脑将会中毒,不要指望杀毒软件,杀毒软件的更新永远在病毒之后。如果该作者发布的是一个对电脑有极大破囘坏性的病毒,那么.....
目前,源网站已经删除了js,所以再点击也不会中招,而且已经有人上报乌云漏洞中心,我想百度官方也应该很快就发现并修复这个漏洞的。
这次事囘件吧务们反应还是很快的..可惜我没有目睹这次事件...
感谢及时出来发贴说明的朋友和吧务组成员。
————原文作者 @此黑客已被注册 匹夫的逆袭吧
xss是一个简称,在安全界,我们称之为跨站漏洞,学名跨站脚本攻击(Cross Site Scripting),属于百度的漏洞被人利用。
从这个标题中可以看出,点囘击后,用户电脑会运行xss.【和谐】retaker【和谐】.me这个网站里的1.js文件,js文件是一种在网页里运行的脚本程序。
不过很可惜,我来晚了,当我看到后就准备去源网站下载一份1.js分析一下,但是源网站已经将该文件删除。
不过可以庆幸的是,这个js的作者没有把下载病毒的功能添加上,否则今天将是一个网络灾难日。
试想,按照今天的传播速度,可能在一个小时内,中囘国30%的个人电脑将会中毒,不要指望杀毒软件,杀毒软件的更新永远在病毒之后。如果该作者发布的是一个对电脑有极大破囘坏性的病毒,那么.....
目前,源网站已经删除了js,所以再点击也不会中招,而且已经有人上报乌云漏洞中心,我想百度官方也应该很快就发现并修复这个漏洞的。
这次事囘件吧务们反应还是很快的..可惜我没有目睹这次事件...
感谢及时出来发贴说明的朋友和吧务组成员。
————原文作者 @此黑客已被注册 匹夫的逆袭吧