关键字列表
unescape('%u80E1%u9526%u6D9B%2C%u6E29%u5BB6%u5B9D%2C%u8584%u7199%u6765%2C%u5468%u6C38%u5EB7%2C%u5F20%u5FB7%u6C5F%2C%u8FBE%u8D56%u5587%u561B%2C%u5218%u6653%u6CE2%2C%u8D75%u7D2B%u9633%2C%u5F31%u667A%2C%u903C%2Cfuck%2Cbitch%2C%u5A4A%u5B50%2C%u5AD6%u5A3C%2C%u5C0F%u4E09%2C%u4F60%u59B9%2C%u5438%u6BD2%2C%u8273%u7167%2C%u5174%u594B%u5242%2C%u884C%u8D3F%2C%u53D7%u8D3F%2C%u6DEB%u79FD%2C%u50BBb%2C%u4E8Cb%2C%u516D%u56DB%2C%u5B66%u6F6E%2C%u81EA%u7531%u95E8%2C%u7FFB%u5899%2C%u5E9F%u7269%2C%u5305%u517B%2C%u8F66%u9707%2C%u5E9F%u67F4%2C%u5356%u6DEB%2C%u7325%u4EB5%2C%u7325%u7410%2C%u674E%u5F66%u5B8F%2C%u5988%2C%u5E72%2C%u65E5%2C%u64CD%u4F60%2C%u6000%u5B55%2C%u907F%u5B55%2C%u53CD%u515A%2C%u6C49%u5978%2C%u5218%u5F3A%u4E1C%2C%u6C5F%u6CFD%u6C11%2C%u9093%u5C0F%u5E73%2C%u6BDB%u6CFD%u4E1C%2C%u6C5F%u9752%2C%u5218%u6653%u6CE2%2C%u674E%u767B%u8F89%2C%u9648%u6C34%u6241%2C%u9ED1%u624B%u515A%2C%u6587%u5F3A%2C%u9A97%u5B50%2C%u5185%u5E55%2C%u5E72%u7239%2C%u85CF%u72EC%2C%u7586%u72EC%2C%u77F3%u539F%u614E%u592A%u90CE%2C%u963F%u57FA%u8BFA%2C%u5174%u594B%u5242')

@depress 有这感觉,到上海待了一段时间,身上的硬币一直没少过.

不错!搞了的话求打杂

困ing...有给力的win音乐播放器推荐么?

@gDD 嗯,我在17楼有提到
@1212e 正解,正确的修复方式应该是给v2ex设置页和登录页加csrf token // cc @Livid

@Livid (゜ー゜） ,刚看了下资料设置页好像没有加csrf token,应该可以用刚刚那种方式直接修改当前用户的css,然后xss之

@Livid
@t3st
@bhuztez
http://jsbin.com/uzefum/5/ 这个如何?

只要用户访问另一个网页,
然后那个页面中通过CSRF登录带有xss的v2ex账户,
这样就可以控制v2ex的页面了,
然后控制的页面伪装成登录界面,
让用户重新登录,
这样就完成了劫持.
@Livid

@Showfom 域名不错:D

V2EX可以弄个反ISP强插代码

@TechWeb: [淘宝上卖暗黑“大菠萝”变真菠萝 消费者被坑] 很多人花几百元在淘宝买了那个所谓的“大菠萝3斤”，结果真的收到了3斤大菠萝。去淘宝客服投诉，客服明确表示店铺出售的货品与买家收到的货品一致，属于正当交易。

http://t.cn/zOdBOlS 大家要小心了～卖家真是奇葩，让消费者花500元买三斤大菠萝。

HR最能扯淡了:(