注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

周立清 - 网易博客

Linger.cn

 
 
 

日志

 
 
关于我

好记性不胜烂笔头!

网易考拉推荐

网易有道快贴爆高危漏洞 所有用户面临风险  

2009-11-10 22:48:01|  分类: IT@烂笔头 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

  搜索爱好者消息 网易有道搜索快贴(http://tie.youdao.com)是一个小型BBS频道,功能类似百度贴吧。10日上午在使用快贴服务时发现,快贴发布帖子和回帖时均支持插入视频链接,笔者随即写了一个空白SWF文件,上传后通过回帖插入链接,结果顺利发布。

  笔者随即有写了一个含弹窗脚本的SWF文件,回帖后同样顺利弹出笔者预设的窗口,至此有道快贴高危漏洞曝光。

  由于有道是国内著名门户网站网易旗下的搜索引擎,用户量巨大,如被别有居心者利用,如弹出挂马网页等,将使所有快贴用户遭受病毒风险。经笔者测试,有道快贴允许用户匿名发帖、匿名回复,甚至没有限制同IP发帖数量,用心不良者可以大量发帖或者大量回复已有帖子,将导致所有浏览用户面临中毒危险。而同样支持视频外链的百度贴吧,则有相对安全的机制,限制只能引用知名视频网站的视频链接。

网易有道快贴漏洞

图:有道快贴直接输入视频链接(测试链接已删除)

  至笔者发现时至此稿发布已有12个小时,笔者在有贴首页的数个帖子、甚至制订的帖子进行测试,竟然没有被处理,仍能正常弹窗。对网易工作人员实在不敢恭维。

  建议所有有道用户在网易发布安全公告前停止使用有道快贴服务,必须使用者请确保安装安全防护软件。因为制作一个弹窗SWF文件非常简单,居心不良者或许在看到此文一分钟内即可大量发布到有道快贴内。

     原文发布于搜索引擎大全:http://news.geiwosou.net/youdao/200911/1004381.html

  评论这张
 
阅读(534)| 评论(2)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017