作者neiltsang (CatLulu)
看板Ajax
標題[問題] 論壇沒防inject 可以用JS攻擊什麼?
時間Fri Dec 27 13:52:36 2019
如題 原本不想問的 怕這種問題政治不正確
但剛剛我那論壇帳號被桶 然後原因是我在那論壇廢文板底下inject
我想說我在發文數篇高的地方 又是前兩天的文章底下留言
應該不刪也不會怎樣(懶真的會害死人 只是想方便下次複製代碼)
結果不知道為啥被發現
(有人知道為啥也順便解答一下@@)
現在工程師已經在修改了 那我沒差啦
就來問吧 inject沒防可以注入什麼JS來攻擊呢?
這種智障漏洞應該五花八門 可以攻擊到死吧 請各位發揮一下
例如 破解發文限制字數?
還有 找餅乾之類的?
請前輩舉例然後稍微示範該怎麼寫 秀一下 感謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.220.255.143 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Ajax/M.1577425958.A.3D9.html
1F:→ brianwu1201: 寫ㄧ個腳本發送 request,在沒特別防護的情況,用戶 12/27 21:12
2F:→ brianwu1201: 來到這個頁面就會執行你注入的 code,也許你就拿的 12/27 21:12
3F:→ brianwu1201: 到用戶的個資 12/27 21:12
個資好像不值錢XD 就算大量蒐集各資 感覺也很無聊
4F:推 bakedgrass: 挖礦阿XD 12/28 06:43
謝謝大大 我查詢了一下發現好可怕QQ
5F:推 st1009: 一個跳轉送他到匿名者頁面 12/28 21:56
6F:推 wotupset: 給韓國瑜競選網站發動ddos攻擊 12/29 10:18
連這個版也要扯政治...好喔
ddos只要有主機ip就可以了吧 而且這個年代還ddos 感覺太老舊了@@
7F:→ y3k: 取得完全系統控制權限(!? 12/29 20:09
8F:推 powyo: sql注入不就為了拿個資而已嗎 還能幹嘛 12/30 12:30
9F:→ swallowcc: 個資值不值錢, 要看拿到資料的人有沒有想搞事 12/30 14:44
10F:→ swallowcc: 如果我可以拿到你慣用的帳密,又剛好你的帳號沒2FA... 12/30 14:45
11F:→ swallowcc: 如果只是想要一筆資料賣幾毛錢那又是另當別論 12/30 14:45
最近有了解個資的觀念 的確是我低估了個資的價值XD
謝謝以上各位大大的回答 本魯以後寫網頁也會多多注意的!!
https://imgur.com/YgKi3PI
https://imgur.com/XjwT4DI
https://imgur.com/PpXKj2k
https://imgur.com/ffZwDiB
https://imgur.com/yU255l9
https://imgur.com/TnFz5kn
brianwu1201 swallowcc powyo y3k bakedgrass st1009這六位大大
我都寄了稅後的10P表達一點心意 多學到一些知識:)
※ 編輯: neiltsang (61.220.255.143 臺灣), 01/07/2020 10:15:09
12F:推 bakedgrass: 謝謝~ 01/10 08:47