2022-08-23 15:52
USBot事件期间,作为XC聊天室主要维护人员Mr_Zhang,抄袭借鉴CC代码,在XC添加了发送HTML消息的新功能。一开始只是用来方便用户使用HTML发送网易云音乐,然则后来zzChumo、Hack4r、MuRongPIG等略懂XSS(一种网络攻击手段)的用户发现了此功能的BUG,例如插入<iframe>标签,甚至是通过定时跳转或全屏显示某网页内容来达到XSS注入的效果。
抄人家东西还不给人家用,我们的小张真的是太厉害辣! ——zzChumo 2022年8月
8月10日晚,ee在XC使用HTML发送了大量有关Minecraft的音乐(XC与Minecraft),以此来悼念曾经的XC与曾经的鱼。
电 子 灵 堂 ——zzChumo 2022年8月
第二日下午,Hack4r让ee在XC发送一段插入HTTP记录的代码,想借此达到盗号目的。这使XC站长MelonFish与老管理Mr_Zhang、新管理QiuLingYan等人陷入警戒。MelonFish删除了配置文件,撤销了ee管理员,并通知所有人更换密码。
本次事件使发送HTML功能暂时被屏蔽了。MuRongPIG表示,这段盗号代码本来是他想等到放假后(第二天)再试的,但却被ee抢先了一步。后来,Mr_Zhang参考CC写了一个HTML开关来降低此类代码的风险。
至于本次盗号是否成功……[数据删除]。该事件结束后,据Hack4r所说,他成功盗取了站长MelonFish和管理员MuRongPIG的密码,还把MelonFish的密码发给了HC其他三位用户。XC被迫修改了salt值(一种加密手段),加长到了20位,并表示除了站长MelonFish,不会有第二个用户知道XC的salt。
……此事件的终止,标志着USBot事件的不完美结束。