关联文章:valine恶作剧回忆录 。
1. valine漏洞
根据一个GitHub Issue:https://github.com/xCss/Valine/issues/352 ,valine评论系统中的Link字段没有经过严格过滤,虽然直接提交javascript:会被在前面强制加上http://,但是后面的部分没有做过滤,使用引号闭合当前的href和a标签后,可以向页面嵌入任意代码,甚至重写整个页面。
要是用来恶作剧,还是很好玩的,哈哈哈哈。
2. 测试这个漏洞是能用的
# curl 构造link字段,让页面不断弹alert
"link": "\" /></span><img src='none' onerror='setInterval(function(){alert()},10);'/>",3. 使用valine源码,脱离页面
理论上来说拿到appId,appKey,就直接能调用接口,发评论了,前端对字段的过滤形同虚设。
在valine源码中,搜索submit,直接就能找到,发送评论的功能。同时参考 LeanCloud的文档 ,很快就搞清了。
安装依赖。
npm init # 安装leancloud-storage包 npm install leancloud-storage --save
直接调用入库接口的代码。需要注意appId,appKey不同网站有不同的值。defaultComment是构建的评论参数,其中的url是页面的路径,link是构造的需要搞怪的代码,这里是建了一个遮罩层,覆盖原有页面。
暂时隐藏。
4. 搞怪效果
原来的页面:
搞怪后的页面:
5. 寻找使用valine的网站
在valine主界面:https://github.com/xCss/Valine ,Used by中都是。
valine文档 中,一些站长留下了网站链接。
在网站中的友链中,可以寻找。
6. GitHub源码
经人提醒,为了防止被别人利用,仓库不再公开!
7. 声明
本站用爬虫恶作剧了以下网站,每个网站收集了三五十个页面,每个页面刷了两个评论,实际上的效果要差的多,有的网站根本没有爬到,有的页面根本就没有显示评论,有的页面刷的评论也没刷上去。
其他网站被恶搞,或者下面的网站再次被恶搞,跟本站一点儿关系没有啊。暂时隐藏。
8. 写给特别轴的人
一个无伤大雅的玩笑,你总是上纲上线,你这么走心,让我觉得你真可怜,我骗你啥了?
你往好的方面想,我是不是给你普及了一次电脑知识,要是真有骗子来搞,你还不立刻上当啊?
9. Valine更新了
多年以后,面对GitHub,valine·xCss 的作者将会回想起被枫糖恶搞后,不得不发连发两个 release 的那个遥远的晚上。
再次声明,如果有网站再次被恶搞,跟本站一点儿关系都没有。
10. 恶作剧一个月后
恶作剧几天后,被恶作剧的博主们就删除了恶搞评论和升级了valine,本来这件事就完结了。
但是昨天从v2ex来了很多流量,发现有的博主至今没有清除恶作剧评论,造成有人在v2ex论坛发帖:“互联网监控提醒您……”有人知道这是怎么回事吗? 。可以谷歌:“互联网监控网关提醒您” 查找没有删除评论的博客。
一些博主被恶作剧后,发布的文章:
一次博客被 XSS 的经历 中说被刷了99条评论。我的爬虫开始设置爬15个页面就结束,后来看js调用leancloud刷评论,有的时候会漏掉,索性把爬虫设置为爬取50个页面,然后每个博客刷了两遍,正好100条评论。
关联文章:valine恶作剧回忆录
我站崩了
這好玩嗎?
請立即刪除
我用你的网站测试的爬虫,没办法,你自己删吧,统共就几条评论。
还挺有意思的
但是别再评论我了
哈哈哈
有病
有病吗?
这是有什么毛病吗?需要用原来的网站,没法访问了。
恶作剧的真的可以!嘻嘻嘻
你有什么毛病???你特么没吓死老子
哈哈哈弄死你们
你真的有什么大病.
有毛病
123123
asd
有病就去看医生
有病就去看医生
大家都是搞技术的,你这么做不怕被报复么?
欢迎来恶搞我的小博客,无所谓
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
。。。。。。
我就把你的评论截断了啊。
这是想施法没有施好吗?
首先我承认你的ctf技术比大多数人好,包括我,但利用漏洞攻击别人,赢得所谓的虚荣心,这就是你所说的技艺高超?你的行为已经严重影响到了别人的正常使用,即使你对valine不满,或对其他人的博客心存嫉妒,大可自己努力学习,写出更好的评论系统或文章,从正面碾压别人,赢得大家掌声,让人家心服口服,而不是恶心别人,做那君子行为,万世流芳。
这个还真体现不出技术来,一个curl命令而已。漏洞也不是我发现的。我从来没说过我技艺高超。
被恶作剧的博客是我用爬虫抓的,纯粹是为了玩一下哦,我连你是谁都不知道,何谈嫉妒呢?
就几个评论,删除就完了,也不会对博主造成什么困扰啊?
我恶作剧一两天,valine就发布了新版本,valine可是十多个月没有修复了,我怎么说也算有点贡献吧?
对valine不满,更谈不上了,一个工具,关我什么事情。
我是傻逼玩意儿
抱歉,最近工作繁忙,昨天刚刚活动大减价,没时间管我的好爸爸,给大家伙添麻烦了
傻逼玩意:
blog.maplesugar.top-104.21.3.168
demo.maplesugar.top-172.67.130.245
网站都套了CloudFlare,这是干啥啊?
感谢博主的科普
你很大气哦
属于是烂活。
如果是你发现的漏洞你秀一下还好,我敬你牛逼,可惜你在利用别人发现的漏洞影响别人的使用体验,
那我只能敬你傻逼了
这么简单的一个漏洞,你就敬了?你个傻逼,连个邮箱都没有,还在这里评头品足,你有个几把的公信力。
最烦你们这些装逼的,别人都说的一清二楚,还装什么诸葛亮,你有个几把的脑子。
类似的傻逼从好几天前就开始攻击我博客,到现在连个评论都破解不了。一群傻逼,连四个字母的验证码都破解不了,装什么逼?你有个几把的技术。
都不是我恶作剧的博主,连个网址都没有,越俎代庖,你装个几把的代表。
还影响你使用体验,没看到已经说明了就是个层遮罩吗?F12直接删除就好了,你有个几把的正义。
我刷的这一百八十个小博客,全部的日访问量只有三四百,有什么你特别需要的信息?信息流底层的用户吧?你算个几把的用户。
还几把“[email protected]”,搞得我的邮件程序连连报错,跟自己多神秘,多么有文化一样,“example”跟三年级英语老师刚学的吧!你有个几把的文化。
还特么搞个“总分总”,你还真走心呢?没看到标题是恶作剧吗?你个心理脆弱的傻逼。你有个几把的道理。
还“属于”、“还好”、“可惜”、“只能”,你自己活明白了吗?你有个几把的价值判断。
别来别人的地盘丢人显眼了!还“没有人”,也没人把你当人看。快点滚吧!
发完了评论,还刷新一下,一看没有显示立刻关了。笑死我了,在我这里评论一下这么爽?我不给你过,你能怎么着。
博主,我妈死了,我老婆被让强将了,我孩子掉粪坑里淹死了。我全家不得好死!
今日一见,才知我是跳梁小丑
我可真秀啊
我觉得很好玩?
哈哈哈哈哈有意思的
我是sb
有本事就别天天搞恶作剧,有技术就去做些实用的事,否则万世流芳
初二,小粉红,还来教育我?不知道什么垃圾学校的前十五都排不进去?
您这句“这时,中国共产党勇敢站出来了!”,着实让我猝不及防啊,这是穿越时空的蒙太奇手法?自己反对自己?《前目的地》看多了?直接自交!降级为PLANT?
就你这成绩,还是工地搬砖比较合适,哈哈哈。
你这文章有问题啊?和王安石斗智斗法?皇帝老子去哪了?是你不敢批评吗?
“苏轼“一蓑烟雨任平生”的精神”?苏轼这诗里还有一句“竹杖芒鞋轻胜马,谁怕?”,我没搞错是反对官僚体系的吧?你胆子不小啊!
被骗了,哈哈哈。我就说我的恶搞有极大的教育意义,让人不再上当!
总结一下:五星红旗,它的名字,比你生命更重要!
还改我的评论,是啊,你是真的《万 世 流 芳》,一个 wp 博客套 CloudFlare 有什么了不起的,我学习怎么样和你什么关系,你自己政治都没学好吧!还给我的文章找茬?我看你就是狗鼻子。对啊,我是初二,但你这“人”心理年龄还停留在xxs吧!!
骂我的评论我都改了,你没发现吗?
想要看我服务器IP,发现套了CloudFlare,攻击不到,完了吧!
一个几把小粉红,快点滚吧,这里不欢迎你!
什么叫我没发现,评论的第一句也能漏看,建议去医院查查眼睛
真不知道什么学校能教出这样“文明”的你
当然是加里敦大学了!
先不管你上的是加里敦还是家里蹲,你这位“素质人”真得从幼儿园重新上起了
这回学聪明了?知道骂我会被改评论,都用上引号了?
教给你个知识:引号表示否定,用来产生讽刺的意味。这是初二语文课本上的吧?用来给你这个学渣加加分。
你们老师还真厉害呢?都能钻你家房里,偷听你和奶奶的私密谈话了。建议改名为-黄鼠狼。
首先,你的恶搞对于可能会对一些不了解的人造成误解,毕竟像一些小白看见这些东西第一时间会是受到惊吓,以前也确实有因为翻墙而被喝茶的,如果这类人不进一步了解的话,可能会焦虑几天。其次,看你说的是恶搞小博客,无伤大雅,但相信任何人都不想自己的博客被搞,即使博客每天只有博主一人,并且确实有一些小博客也有一些好东西。
第一,恶搞的意思就是第一时间让你受到惊吓,恶搞视频不就是为了拍表情嘛?我获得了很多用户数据,非常有趣。
第二,我留了链接,他们肯定会进一步了解的。假设,最坏情况,有小白相信了,直接关了网页,有什么用呢?恶搞文案已经写明,“记录了IP”。所以,他会在心情平复后,查看到底是什么状况,进而点击我留的链接。所以,你说的,“有人可能不进一步了解的情况”是不存在的。
第三,什么小博客之类的,是为了反驳上面评论说的,不是什么重要的事情,也不是故意选取的。这些博客,是我用谷歌搜索抓的,关键词是“valine 配置”、“valine 教程”。这些人都是技术博主,这种恶搞小玩意儿只会一笑而过。
所以,这就是个无伤大雅的恶作剧,你说的小白,是指你自己吧?实际上小白是非常赚的,什么也没付出,一两分钟,就获得了大量的经验。
评价我文章去我博客底下说啊,躲在自己的网站里B
我是傻子吗?推测你的博客访客都是跟你一样的人。说不定还有同学。
在我的博客里,没人能在评论中打败我。
嗯嗯,靠改评论和删评论打败
回到正题,**********************************,对吧?
你说的对
开始撵我走了?你无语了?
wordpress有N多插件,如果要撵走你,可以直接屏蔽。另外,别看不起wordpress,有海量的插件和主题,开源的社区。
我并无看不起wp之意,话说回来我第一个博客还是wp的呢
吵在一起也不容易,交个友吧
重新开启了链接页面,已添加链接。
绝了
博主看看******,应该没有同样的问题吧
对不起,和之前说的一样,本站对valine没有任何看法,所以也不会推荐其他东西啊。
博主对于恶作剧感兴趣,对于寻找漏洞不感兴趣啊。这个漏洞也是issue中看到的。
你说的东西,应该有后端吧?已经脱离了静态博客的初衷了。建议改名为:“MoneyLess”。
我草我以为自己咋了,搜索了一晚上相关案例
搜不到吧?这是我独创的文案。以前恶搞的用的,这次刷到一半,才想起来,忘了改了。
还删评论的,玩不起就别搞博客了吧 反正也不敢对外交流
我开垃圾评论检测后,你这种评论都会自动归类到回收站,都不用我动手。
小伙还挺执著,第二天还来看。
呜呜呜 别骂了 别骂了 都是我不对捏
啊
总有人发这种评论,难道在测试是不是实时评论?
大晚上的嗷一下,吓我一跳
为了更好的吓到别人,改成30秒出来了。
楼主,我是傻逼,你除了改评论,你还会干什么,我是婊子养的
知道还发,不长进啊!还是匿名的,我看你就是找茬的。
这个好有意思, 不过火狐浏览器会自动关闭标签, 隐私模式和谷歌浏览器还能访问.
小恐龙很可爱
我刚刚记起来,我以前屏蔽了v2ex和几十个其他网站的流量,现在放行v2ex了。
骂人并不能消除Valine的安全问题
就感觉挺熊孩子的
有意思,如果你博客有个Rss就好了
作为一个安全从业者,你这种行为已经突破底线了。
找bug可以,写篇文章介绍了利用方法也行,即便是做个PoC公开也无伤大雅,但你不能影响到使用了这个东西的业务正常工作,这种行为真的非常不齿。不能因为自己写的东西可能没人看,期望靠着“恶作剧”给自己开脱,用恶意行为破坏人家正常的浏览体验而给自己引流增加热度,你觉得有谁能理解?
不要寄希望于黑红也是红。
“JohnAppleseed”?日尼玛的,还模仿我的网站名。
我闲的蛋疼,就顺便教育教育你:
1. 永远不要靠着自己身份来说服别人。
“作为一个安全从业者”,我是安全从业者?你的傻逼的职业道德,跟我有一毛钱关系?怕不是刷马猴子的月饼,吃出阴影来了吧?
2. 永远不要拿自己的想当然的想法套在别人身上。
“但你不能影响到使用了这个东西的业务正常工作”,你TM在教我做事?
“不能因为自己写的东西可能没人看”,别太拿自己当回事了,你自己不看,不代表别人不看,你自己怎么想,不代表别人这么想。
“用恶意行为破坏人家正常的浏览体验而给自己引流增加热度”,你是抖音看多了吧?引你这种白痴来,我还得教育你。除了恶作剧带给我点儿乐子,还有个屁的作用?
“期望靠着“恶作剧”给自己开脱”,我开脱个鸡毛啊,你觉得我有羞耻感?这种事我天-天-干!
“你觉得有谁能理解”,我TM让你理解了?TM的,我妈都不理解我,我也不希望别人理解我。你个几把的陌生人还TM理解我,你有个正常的脑子我就满足了。
3. 永远不要随口教育别人。
“不要寄希望于黑红也是红”,我说了我要红?我是螃蟹吗?还“寄希望”?也就你这种白痴才会寄希望自己红,红了我就把你啃了。
4. 总结:网络圣人,在线教育-这真是笑死人,不分你我-头脑混乱,搞不清事实-观察能力低,揣测不清别人的意图-没有基本的逻辑和同理心。
其他毛病还好,但这不分你我实在太重要了,你知道写程序,全局变量和局部变量搞混是非常大的bug,建议你修复一下你的脑子再来说话。
再有这种人来,您也别留言,您快点儿滚,就完了。
又一个不敢留email的,你连个email都不敢留,劝你也别说话。
这么正义凛然,连个email都是假的,你这不是自己打自己脸吗?
这位“鱼小丁”同学,还安全从业者?从业者刷几把的acm?就服你们这些装B的,刷个几道sb算法题,觉得自己高人一等,跟谁TM没学过数学一样。
鱼小丁的博客:https://dingyx99.me
鱼小丁的github:https://github.com/dingyx99
鱼小丁的email:[email protected]
这我就搞不懂了,自己明明有邮箱和博客,还是网上公开的,在我这里留个假的算是怎么回事?
你就算留个真的邮箱,我能把你怎么着呢?正义站在你那边,还畏畏缩缩的,真有点儿看不起你。
难道你是想保密真实的信息,以后搞我,我不知道是谁干的?问题是,你就算留下真实的信息,以后搞我,可以匿名啊,我没有真凭实据,也拿你没办法啊?细细想来,你就是胆子小。
胆小如鼠,还来撒野!滚!
以后这种傻逼留言都不回了,建议读读上面博主的评论啊,不单指这一条。已经骂的很全面了。
我吃错药了吗?还是忘吃药了?
都不是,您这是晚期,吃不吃药都一样。
我妈死了操我妈的
就别更新您妈的状态了,我大脑缓存不够。
我妈死了
就别更新您妈的状态了,我大脑缓存不够。
我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了
就别更新您妈的状态了,我大脑缓存不够。