WooYun.org

当在Discuz中回帖，插入一张很奇葩的图片时，可能就会导致用户被盗号。

http://xsser.me/authtest.php?id=Ayuk1y&[email protected]

例如上面那个地址，可以用图片来引用之，然后回帖，当用户看到这张图片的时候，就会触发提示登陆框。
这个地址是一个401头
HTTP/1.1 401 Unauthorized
当输入密码后，会重定向到收集数据的页面，接着，你们密码就被盗了。
我为什么认为这个是一个漏洞：
1、用户网站大多都是提醒用户不要再站外输入自己的账号密码，但是，现在将代码插入到网站内部，用户有认为这是在网站内部，所以就输入了自己的密码。
2、经过试验，成功钓到了用户的数据
3、不仅仅是Discuz，需要网站都支持引用一张网络图片，并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。
4、之前的钓鱼过程是：黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗
而现在是：黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然，就少了一个非常繁琐的步骤。
例如，在一个论坛中，我将那个图片插在签名中，然后几乎每个帖子都去回复，然后，用户基本上就是去到哪里都能看到我的框框。。。。-,-然后后果你猜？！
（部分浏览器不支持）