百度空间 | 百度首页 
               
 
查看文章
  
百度博客的一个小BUG--伪造留言,导致钓鱼问题
2008-07-06 20:32

其实也算不上太严重的bug,不过确实可以利用百度博客的这个BUG,来做一些高仿伪装留言。做点挑拨离间,钓鱼欺诈一类的事情,还是绰绰有余的,希望百度的朋友看到后,能即时修补一下。方法如下。

1、此时我并没有登陆,以游客的身份回复信息,百度并没有对游客的ID做限制,可以用任意ID,如果你在网址邮箱上填入任意网址,都会在回复中以超级链接的模式体现

2、我用游客的权限伪装博客主人eanalysis的身份,回复了一下这个帖子,可以看到下面的截图中有两个回复,有微笑青蛙头像的回复是真正的eanalysis的回复,下面虽然显示的也是eanalysis,ID上也有链接(链接也是hi.baidu.com/eanalysis),但是并没有应该有的博客头像,同时名字旁边多了“网友:”的标记。

可见在百度博客中,用游客权限是可以做一些高仿钓鱼活动的:)。

一时性起,做了一些有意思的DEMO,全当玩笑之作,只是为了表明危害。


类别:业界感悟 | 添加到搜藏 | 浏览() | 评论 (19)
 
最近读者:
 
网友评论:
1
2008-07-06 20:36 | 回复
这是一个钓鱼欺诈的演示DEMO,访客勿信。 你好,我代表百度公司恭喜您。 百度空间春节有奖活动—春节期间祝贺百度空间用户春节快乐 百度公司联合三星电子科技公司举办春节有奖活动,为宣传三星公司的产品百度公司后台系统将在喜迎2008期间随机抽选幸运用户!凡百度空间用户都有机会获得百度公司及三星提供的丰厚礼品!祝所有用户新年行大运! •活动时间:6月13日--6月15日 •活动形式:凡是百度空间用户都有机会获得不同的惊喜! 详情请访问 www.骗你没商量.com
 
2
2008-07-06 22:14 | 回复
有意思,收藏了.....
 
3
2008-07-07 00:26 | 回复
哈哈 的确 那怎样修补呢 完全是是百度的漏洞吗
 
4
2008-07-07 08:43 | 回复
试试...
 
5
2008-07-07 09:36 | 回复
不是已经多了个 网友:yuange1975 么
 
6
2008-07-07 09:54 | 回复
收到。 俺现在用的blog还不错,这方面有限制,方法就是游客可以在俺的blog上进行注册,一旦ID注册后,游客在使用该ID时就需要输入密码才可以回复。 可以提醒baidu也做这方面的加强 :)
 
7
2008-07-07 12:02 | 回复
原来这么利用的 汗个
 
8
2008-07-07 12:27 | 回复
好大的破绽,咋都有 网友 两个字的头衔。
 
10
2008-07-07 18:02 | 回复
晕个
 
11
2008-07-07 19:07 | 回复
haha
 
12
2008-08-15 22:56 | 回复
这样呀
 
13
2008-08-15 22:59 | 回复
haha
 
14
2008-09-04 09:25 | 回复
真的?
 
15
2008-09-05 14:56 | 回复
李彦宏
 
16
2008-09-06 18:07 | 回复
http://hi.baidu.com/eanalysishttp://hi.baidu.com/eanalysishttp://hi.baidu.com/eanalysis
 
17
2008-09-09 00:10 | 回复
http://www.google.com/
 
18
2008-09-12 14:28 | 回复
还会和以前一样骂
 
20
2008-10-16 11:30 | 回复
就你觉得这事它有意思吗
 
21
2008-11-27 10:57 | 回复
有意思
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu