09年6月从网【那时还叫校内网】爆发大规模日志脚本漏洞,导致大量用户日志被更改。时隔近两年之后,人人网漏洞再现,这次漏洞位于站内信。
因为没有对站内信内容中<>符号进行文本化转化,通过在特定的站内信中添加代码就能直接执行站外js脚本,导致自己以及通讯录中朋友的人人ID,学校,生日,姓名,QQ,MSN,甚至手机号被泄露和上传至http://qiutuan.net
而此域名被托管在美国,而且提供的注册信息都是假的。。。
Registrant:
wang dasha
hubeishengwuhanshi
wuhan, 518089
China
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: QIUTUAN.NET
Created on: 06-Mar-11
Expires on: 06-Mar-13
Last Updated on: 12-Apr-11
Administrative Contact:
dasha, wang dasha811@gmail.com
hubeishengwuhanshi
wuhan, 518089
China
+1.18603051234 Fax --
Technical Contact:
dasha, wang dasha811@gmail.com
hubeishengwuhanshi
wuhan, 518089
China
+1.18603051234 Fax --
Domain servers in listed order:
NS1.HOSTABLE.COM
NS2.HOSTABLE.COM
NS69.DOMAINCONTROL.COM
NS70.DOMAINCONTROL.COM
没有评论:
发表评论