这样也可以戏弄”博邻”

10月 11, 2007 on 10:15 pm | In js |

Hoo,发现一个小漏洞:
在博邻(http://www.365bloglink.com/)首页上搜”互联网,请记住我”,然后结果页中是没有结果的。但是有备选项,我选中”搜标题”,再点搜索,就有结果了。然后发现这里的投票是可以重复投票的(点推荐后刷新一次又可以推荐,估计是没有在数据库中记IP)。哈哈,于是我查看源代码,发现“推荐”二字的链接是javascript的,于是复制这一段:

  1. javascript:votePost('sa9Yfdjno', 'divsa9YfdjnoVote');

就在这个页面中粘贴到浏览器地址栏中,按回车就发现票数变了。再按回车,再变。一直刷到50票。不过博邻的排名没啥意思,没有成就感。
hoo,漏洞无处不在了。365bloglink还是比较知名的站了,也有js漏洞。
上次live.com邮箱被抢注,也是同样的漏洞。
看来我以后也得记住 ,客户端的js是不可相信的!

1条评论 »

评论 RSS Feed。 TrackBack URI

  1. [...] 刚写完一篇这样也可以戏弄”博邻”写了博邻的一个小漏洞,呵呵,又无意中发现一个漏洞。 具体事件是这样的: 我看到我的apache的日志中有这样一行: Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 14 subscribers; feed-id=11356774075877697470) [...]

    通告 由 互联网,请记住我 » 欺诈,又是欺诈 — 10月 20, 2007 #

发表评论

XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Powered by WordPress with Pool theme design by Borja Fernandez.
Entries and comments feeds. Valid XHTML and CSS. ^Top^