CSDN脚本漏洞报告,脚本引发自动跳转的血案

路过秋天-博客园 广州天越电子科技有限公司 技术总监/研发总监  2011-02-21 02:23:57
在本人发的贴子: 一款相当给力的数据库操作组件:CYQ.Data 中,有用户在23楼发了以下脚本代码:
示例,修改了一下关键词:
<script>alert('秋色园QBlog[CYQ.Data]免费下载');
window.location.replace('http://www.cyqdata.com');
</script>

当帖子浏览时,自动定位到该用户网站,请csdn尽快处理,免泛滥成灾。

另将帖子内容重发如下:
CYQ.Data :是一款由路过秋天创作的支持多数据库应用[Access,MSSQL,Oracle,SQLite,MySql]的底层数据库操作类库,
使用本类库可以轻松快速高效的开发项目,相当给力。

本组件完成始于2007年,经过几年的沉淀,及最近一年的不断的优化升级,成长为一款相当方便快捷操作数据库数据框架。

如果你还在用:
NHibernate,
Spring.net,
微软ADO.net entity framework,
借助工具生成一堆的Entity,Interface,Factory,SQL操作类+一堆的存储过程

以上,烦琐的配置,一堆的dll+一堆重复代码,都太劳累了,太不给力。

CYQ.Data 作者曾编写过4-5种框架之后比较,唯独此框架,最最给力和叫的最卖力。

因为它上手简单,配置简单,开发高效,开发的代码相当的简洁,能有效节省你大量的代码,
更有丰富的文档教程和视频教程,还有很多成功的开发项目案例。

到哪找到下载与查看这些资源呢?

地址如下:秋色园:http://www.cyqdata.com/cyqdata
注意下左侧的文章分类有以下内容:
快速使用帮助 (7)
使用视频教程 (8)
完整示例 (3)
版本发布 (13)
框架原理 (8)
其它相关 (1)
框架项目案例 (7)

最新V4.3版本发布地址:http://www.cyqdata.com/cyqdata/article-detail-21041

那它怎么个简洁法?这里简单示范一下最新的V4.3版本为ajax应用而生的功能:

前提:
1:引用了CYQ.Data.dll,
2:web.config配置好数据库链接字符串
3:有个表叫Blog_User,并有id,name,url三个字段。
示例代码:
1:数据更新:
using (MAction action = new MAction(TableNames.Blog_User))
{
action.GetFromJson("{id:2,name:\"秋色园\",url:\"www.cyqdata.com\"}");
action.Update();
}
就这么几行,就可以实现数据更新了,可以接受json直接内部解析后填充,然后根据id实现更新。

2:数据绑定
using (MAction action = new MAction(TableNames.Blog_User))
{
action.Select().Bind(列表控件id)
}
就是两行,可以将该表的数据查询并绑定到列表控件[Repeater/DataGrid/GridView等]中。

更多功能,就等你发现了,还是重复说一篇:
注意看:http://www.cyqdata.com/cyqdata 文章中左侧的分类的内容。

CYQ.Data 数据框架,相当的给力!!!赶紧试试吧。
...全文
333 点赞 收藏 41
写回复
41 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
hvppy1 2011-03-02
<script>alert('秋色园QBlog[CYQ.Data]免费下载');
window.location.replace('http://www.cyqdata.com');
</script>
回复
qiudong_5210 2011-03-01
[Quote=引用 39 楼 cyq1162 的回复:]
引用 38 楼 qiudong_5210 的回复:
我就因为玩了那种脚本

后来在监狱呆了一周,刚放出来

哈哈~~~封号了?
[/Quote]

就是在灌水乐园不能发帖,不能回帖,很郁闷的事情……
回复
[Quote=引用 38 楼 qiudong_5210 的回复:]
我就因为玩了那种脚本

后来在监狱呆了一周,刚放出来
[/Quote]
哈哈~~~封号了?
回复
[Quote=引用 36 楼 sp1234 的回复:]
真的么?我也试一试!
[/Quote]
时间拉的太长,这么久不可能还没修复。
回复
qiudong_5210 2011-02-24
我就因为玩了那种脚本

后来在监狱呆了一周,刚放出来
回复
chkmouse 2011-02-23
%3Cscript%3Ealert%28%27%E7%A7%8B%E8%89%B2%E5%9B%ADQBlog%5BCYQ.Data%5D%E5%85%8D%E8%B4%B9%E4%B8%8B%E8%BD%BD%27%29%3B++%0D%0Awindow.location.replace%28%27http%3A%2F%2Fwww.cyqdata.com%27%29%3B%0D%0A%3C%2Fscript%3E
回复
[Quote=引用 29 楼 dygaalove 的回复:]
没事拿csdn开心的人做这种事情吧。。
[/Quote]
推荐CSDN使用CYQ.Data 数据组件框架开发,能节省人力物力精力,而且不怕人来人往,能保持良好队形。
回复
没事拿csdn开心的人做这种事情吧。。
回复
宝_爸 2011-02-22
帮顶。。。
回复
另一个血案的好像不见了。
回复
porschev 2011-02-22
[Quote=引用 23 楼 winner2050 的回复:]

转换为16进制才行啊。

用明码也能攻击,CSDN的技术虽然没法让人夸,但是也不至于那么二。
[/Quote]

同感。。。
回复
另一个血案又发生了,不知道csdn修好了没有。
回复
ChrisAK 2011-02-21
[color=#<FF99CC][/color]
回复
[Quote=引用 24 楼 mmm306306 的回复:]
引用 23 楼 winner2050 的回复:

转换为16进制才行啊。

用明码也能攻击,CSDN的技术虽然没法让人夸,但是也不至于那么二。

呵呵,漏洞很多,至少还有一个漏洞没修复!
[/Quote]
哪种漏洞呢?提示一下。
回复
马老虎 2011-02-21
[Quote=引用 23 楼 winner2050 的回复:]

转换为16进制才行啊。

用明码也能攻击,CSDN的技术虽然没法让人夸,但是也不至于那么二。
[/Quote]
呵呵,漏洞很多,至少还有一个漏洞没修复!
回复
winner2050 2011-02-21
转换为16进制才行啊。

用明码也能攻击,CSDN的技术虽然没法让人夸,但是也不至于那么二。
回复
csdn把带有[#code]脚本[#/code]的内容给临时过滤了,去掉两个"#"号。提交这个bug,不知道有没有奖励,哈哈哈。
回复
jiaweihan_001 2011-02-21
呵呵,继续观看。
回复
PoHuaiWang007 2011-02-21
来看看!
回复
加载更多回复
相关推荐
发帖
非技术区
创建于2007-09-28

7700

社区成员

.NET技术 非技术区
申请成为版主
帖子事件
创建了帖子
2011-02-21 02:23
社区公告
暂无公告