简单渗透安卓网任意执行代码

Jianghao7172

今天逛安卓论坛，无意间发现了这个BUG
首先我们打开这个页面：http://manager.hiapk.com/account/register
可以看到，在这里，你只需要输入用户名（是邮箱），昵称，两次密码以及验证码即可注册
首先，把用户名，密码，验证码填好，就差这个昵称

然后，就可以开始在昵称那里※※※※
例如，我们来一段JS
在昵称输入下面的内容：

1. <script>alert("Hack by TCOTP~OwO~");</script>

复制代码

注意一下，文字长度最好不要超过90个字符，不然可能显示不全，而且不要中文，会乱码。
接着，开始※※※※
注册他，注册完了，打开http://bbs.hiapk.com/ 你就会发现弹出了个对话框，点击确定即可
我们去发个帖子
，随便发点内容，然后发布
这时候，只要任何人访问这个版块或者点开帖子，都会弹出对话框了，也就是说，这个昵称可以执行任意HTML代码

太可怕了，我现在已经注册了20多个账号来耍，效 果 杠 杠 的，其中还包括用iframe框架加载别的网站
教你们一个最简单的，在昵称输入<input>试试
你的用户名会变成一个可以输入文字的文本框！
后来我还发现一个让网站卡死的BUG
就是在昵称输入<textarea>
文字输入域死循环，卡到飞起，浏览器甚至直接崩溃
不多说了，希望我等会能在[这里]看到你的对话框~
最后来一句:H a c k b y T C O T P ~ O w O ~

Wolverine

这算是黑客软件吗？

nxy

流弊啊
JS脚本有很多玩法呢
以前我用黑客软件给朋友的手机浏览器加载了个死机JS，结果他的浏览器到现在还开不起来。。。。

lovemc

这个6

Duang的一下

可以，这很强势