博客园自动关注病毒 只活了一小会儿。

博客园自动关注病毒。

不懂刚才多少人有进行了测试呢？

博客园自动关注病毒，诞生用了半天的时间。
关掉只用一小会儿就完全关掉了啊。呵呵 。没有清除的也没有关系。我这边清除掉了。不会在传播了。

原来的文章不贴代码了

  昨天晚上看到了一个人写的自动关注的强推的代码。然后我就知道了这个漏洞（可能也是博客园为了

大家的方便）

可以深入利用了。我们可以在博客园允许脚本的基础上搞出更牛B的。自动传播和关注的功能。是不是有

病毒的性质了？好象老早以前就有人这样在一个sns上这样搞过了。


刚开始我考虑的自动写随笔的形质。但是发现写随笔的话会导致一个问题 随笔的页面会弹出一个警告框

你是否要离开？这样的话你就没有办法做到完全隐藏的方式了。

所以我找到的是博客园的设置选项。里面有一个地方同样是允许加入html代码的。这样的话我们就可以

替代用户在html页脚部分加入html代码了。

看一下我们的病毒代码是什么构造的.首先我们要知道当前用户的博客园用户名。最初我是通过cookie的

方式来得到的( 这边大家写代码的时候就要注意有一个HttpCookie cookie;cookie.HttpOnly 的属性可以

设成true这样客户端的js是不会得到哪个cookie的).后面在另一台电脑上进行测试的时候发现这个

cookie得不到。我还以为博客园已经有防住了这样的漏洞。后面我就另外测试了一下直接输入

http://www.cnblogs.com/admin/的地址我发现它会跳转到你自己的网址上去比如我的就是
http://www.cnblogs.com/lovebanyi/admin/这样的话我们就可以进行我们的下一步了。构造一个Iframe

来帮助用户提交数据。（因为是相同站点的关系，所以跨站是没有任何关系了。 我不清楚博客园是否已

经做了外部站点的防跨站！如果没做的话已登录的会员在其它网站浏览到包含以下js代码的页面也会同

样中招）
构造的代码很容易用jquery 就可以写出来了。
推荐的代码也不需要去拼，
加关注的代码你爱什么写就什么写。

 

传播的功能就是要把有这个代码功能的代码本身放到用户html尾部。就可以实现了。
我这边用到的代码文件是<script type="text/javascript"

src="https://files.cnblogs.com/lovebanyi/test.js"></script>

病毒在感染用户之前要判断这个用户是不是忆经被感染过。如果没有感染过才感染，否则的话，就会制

造出一大堆的垃圾了。
导致别人访问你的网站可能都要挂了！我这边就简单的判断用户的配置哪边是不是有lovebanyi的字符串

有的话就不能在感染了。