对valine评论系统的恶作剧

1. valine漏洞

根据一个GitHub Issue:https://github.com/xCss/Valine/issues/352 ,valine评论系统中的Link字段没有经过严格过滤,虽然直接提交javascript:会被在前面强制加上http://,但是后面的部分没有做过滤,使用引号闭合当前的href和a标签后,可以向页面嵌入任意代码,甚至重写整个页面。

要是用来恶作剧,还是很好玩的,哈哈哈哈。

2. 测试这个漏洞是能用的

# curl 构造link字段,让页面不断弹alert
"link": "\" /></span><img src='none' onerror='setInterval(function(){alert()},10);'/>",

3. 使用valine源码,脱离页面

理论上来说拿到appIdappKey,就直接能调用接口,发评论了,前端对字段的过滤形同虚设。

在valine源码中,搜索submit,直接就能找到,发送评论的功能。同时参考 LeanCloud的文档 ,很快就搞清了。

安装依赖。

npm init
# 安装leancloud-storage包
npm install leancloud-storage --save

直接调用入库接口的代码。需要注意appIdappKey不同网站有不同的值。defaultComment是构建的评论参数,其中的url是页面的路径,link是构造的需要搞怪的代码,这里是建了一个遮罩层,覆盖原有页面。

暂时隐藏。

4. 搞怪效果

原来的页面

搞怪后的页面

5. 寻找使用valine的网站

在valine主界面:https://github.com/xCss/ValineUsed by中都是。

valine文档 中,一些站长留下了网站链接。

在网站中的友链中,可以寻找。

6. GitHub源码

经人提醒,为了防止被别人利用,仓库不再公开!

7. 声明

本站用爬虫恶作剧了以下网站,每个网站收集了三五十个页面,每个页面刷了两个评论,实际上的效果要差的多,有的网站根本没有爬到,有的页面根本就没有显示评论,有的页面刷的评论也没刷上去。

其他网站被恶搞,或者下面的网站再次被恶搞,跟本站一点儿关系没有啊。暂时隐藏。

8. 写给特别轴的人

一个无伤大雅的玩笑,你总是上纲上线,你骂两句我都接受。
你这么走心,让我觉得你真可怜,我骗你啥了?

你往好的方面想,我是不是给你普及了一次电脑知识,要是真有骗子来搞,你还不立刻上当啊?

9. Valine更新了

多年以后,面对GitHub,valine·xCss 的作者将会回想起被枫糖恶搞后,不得不发连发两个 release 的那个遥远的晚上。

再次声明,如果有网站再次被恶搞,跟本站一点儿关系都没有。

这不是本站干的哦!

10. 恶作剧一个月后

恶作剧几天后,被恶作剧的博主们就删除了恶搞评论和升级了valine,本来这件事就完结了。

但是昨天从v2ex来了很多流量,发现有的博主至今没有清除恶作剧评论,造成有人在v2ex论坛发帖:“互联网监控提醒您……”有人知道这是怎么回事吗? 。可以谷歌:“互联网监控网关提醒您” 查找没有删除评论的博客。

一些博主被恶作剧后,发布的文章:

全新博客评论系统上线

一次博客被 XSS 的经历

关于Hexo网站valine评论系统的BUG分析

一次博客被 XSS 的经历 中说被刷了99条评论。我的爬虫开始设置爬15个页面就结束,后来看js调用leancloud刷评论,有的时候会漏掉,索性把爬虫设置为爬取50个页面,然后每个博客刷了两遍,正好100条评论。

打赏作者

Copyright © 2021,枫糖, 版权所有,禁止转载、演绎、商用。
离开前,建议您浏览一下 归档 页面,或许有更多相关的、有趣的内容!

93 个评论

  1. 郭桓桓 2021-10-17
    • maplesugar 2021-10-18
  2. yyds 2021-10-18
  3. 啧啧啧 2021-10-18
  4. 我大爷 2021-10-18
  5. wmsl 2021-10-19
  6. 昵称 2021-10-19
  7. 鳝鱼主任 2021-10-19
  8. xxxx 2021-10-19
  9. z'z 2021-10-19
  10. 123123 2021-10-19
  11. asd 2021-10-19
  12. bgmn 2021-10-19
  13. 有病就去看医生 2021-10-19
  14. MapleSugarLiveLong 2021-10-20
  15. 我的爷爷 2021-10-20
  16. 我爸爸 2021-10-20
  17. 你的爷爷 2021-10-20
    • maplesugar 2021-11-13
  18. ChenYFan 2021-10-20
    • maplesugar 2021-10-20
      • 我的祖父 2021-10-20
      • aplesugar mun 2021-10-21
  19. 你的祖父 2021-10-20
  20. 杜飞 2021-10-20
  21. 没有人 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
    • maplesugar 2021-10-21
      • 我吗拉个B 2021-10-21
      • 我的祖父 2021-10-21
        • 我的祖父 2021-10-21
  22. linkio 2021-10-22
  23. gaoryrt 2021-10-27
  24. 54188 2021-10-30
  25. ye土土 2021-10-30
    • maplesugar 2021-10-30
      • maplesugar 2021-10-30
      • maplesugar 2021-10-30
      • maplesugar 2021-10-30
      • maplesugar 2021-10-30
      • maplesugar 2021-10-30
      • ye土土 2021-10-30
        • maplesugar 2021-10-30
          • ye土土 2021-10-30
      • ye土土 2021-10-30
        • maplesugar 2021-10-30
          • ye土土 2021-10-30
          • maplesugar 2021-10-30
    • maplesugar 2021-10-30
  26. 11111 2021-10-30
    • maplesugar 2021-11-13
  27. ye土土 2021-10-30
    • maplesugar 2021-10-30
      • ye土土 2021-10-30
      • ye土土 2021-10-30
        • maplesugar 2021-10-30
          • ye土土 2021-10-30
          • maplesugar 2021-10-30
          • ye土土 2021-10-31
          • maplesugar 2021-10-31
  28. Xiobb 2021-11-01
    • maplesugar 2021-11-01
    • maplesugar 2021-11-01
    • maplesugar 2021-11-01
  29. Lemonawa 2021-11-08
    • maplesugar 2021-11-08
  30. 城南花 2021-11-09
    • maplesugar 2021-11-09
  31. 城南花 2021-11-09
  32. 阿发 2021-11-11
    • maplesugar 2021-11-11
  33. 贰狐 2021-11-15
    • maplesugar 2021-11-15
  34. 我爸爸 2021-11-16
    • maplesugar 2021-11-16
  35. 粑粑 2021-11-21
    • maplesugar 2021-11-21
  36. oc 2021-11-22
  37. lmao 2021-11-22
  38. thetbw 2021-11-22

添加评论

code