作者neiltsang (CatLulu)
看板Ajax
标题[问题] 论坛没防inject 可以用JS攻击什麽?
时间Fri Dec 27 13:52:36 2019
如题 原本不想问的 怕这种问题政治不正确
但刚刚我那论坛帐号被桶 然後原因是我在那论坛废文板底下inject
我想说我在发文数篇高的地方 又是前两天的文章底下留言
应该不删也不会怎样(懒真的会害死人 只是想方便下次复制代码)
结果不知道为啥被发现
(有人知道为啥也顺便解答一下@@)
现在工程师已经在修改了 那我没差啦
就来问吧 inject没防可以注入什麽JS来攻击呢?
这种智障漏洞应该五花八门 可以攻击到死吧 请各位发挥一下
例如 破解发文限制字数?
还有 找饼乾之类的?
请前辈举例然後稍微示范该怎麽写 秀一下 感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.220.255.143 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Ajax/M.1577425958.A.3D9.html
1F:→ brianwu1201: 写ㄧ个脚本发送 request,在没特别防护的情况,用户 12/27 21:12
2F:→ brianwu1201: 来到这个页面就会执行你注入的 code,也许你就拿的 12/27 21:12
3F:→ brianwu1201: 到用户的个资 12/27 21:12
个资好像不值钱XD 就算大量蒐集各资 感觉也很无聊
4F:推 bakedgrass: 挖矿阿XD 12/28 06:43
谢谢大大 我查询了一下发现好可怕QQ
5F:推 st1009: 一个跳转送他到匿名者页面 12/28 21:56
6F:推 wotupset: 给韩国瑜竞选网站发动ddos攻击 12/29 10:18
连这个版也要扯政治...好喔
ddos只要有主机ip就可以了吧 而且这个年代还ddos 感觉太老旧了@@
7F:→ y3k: 取得完全系统控制权限(!? 12/29 20:09
8F:推 powyo: sql注入不就为了拿个资而已吗 还能干嘛 12/30 12:30
9F:→ swallowcc: 个资值不值钱, 要看拿到资料的人有没有想搞事 12/30 14:44
10F:→ swallowcc: 如果我可以拿到你惯用的帐密,又刚好你的帐号没2FA... 12/30 14:45
11F:→ swallowcc: 如果只是想要一笔资料卖几毛钱那又是另当别论 12/30 14:45
最近有了解个资的观念 的确是我低估了个资的价值XD
谢谢以上各位大大的回答 本鲁以後写网页也会多多注意的!!
https://imgur.com/YgKi3PI
https://imgur.com/XjwT4DI
https://imgur.com/PpXKj2k
https://imgur.com/ffZwDiB
https://imgur.com/yU255l9
https://imgur.com/TnFz5kn
brianwu1201 swallowcc powyo y3k bakedgrass st1009这六位大大
我都寄了税後的10P表达一点心意 多学到一些知识:)
※ 编辑: neiltsang (61.220.255.143 台湾), 01/07/2020 10:15:09
12F:推 bakedgrass: 谢谢~ 01/10 08:47