这是一个创建于 73 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 renmu 73 天前 via Android 我认为是被黑了,这个平台 11 年就有了,有备案,有商场等各种业务 |
 | 2 Vancion 73 天前 被搞了。可以丢给 LLM 分析一下。大概就是 s.src=atob 后面那段,你自己 base64 解码也能看到加载的 js |
 | 3 sheeta 73 天前 xss 注入 |
 | 4 MFWT 72 天前 典型的 XSS 注入,URL 解码一下就很清楚了,让 img 的 src 等于无效地址,然后通过 onerror 触发脚本,从第三方网页加载 js 文件插入到当前网页并执行 看着是利用这种人畜无害的链接做跳转站 |
 | 5 imlonghao 72 天前 XSS |
| 6 MFWT 72 天前 跟了一下,跳转过去是一个游戏网站(具体链接就不放了,跟踪所加载的 js 代码很容易发现)的 未鉴权 且 未做类型限制 的图床,被人抓口子上传非法网页了 |
 | 7 pusheax 72 天前 反射型 XSS 。 这网站有一处漏洞,会把 get 参数的输入内容拼接到网页中。攻击者往 get 参数里面插跳转网页的 html 代码,当用户点击含有这段代码的连接时,就会触发 xss 跳转到恶意网站。 由于用户点击的链接其实是合法网站(之后才跳转非法网站),所以可以绕过一些安全检测(例如微信的“该网址已被多人举报”)。 |
Select Language