国内知名开源论坛系统Discuz! X论坛爆漏洞,已登录用户可以通过js脚本删除自己的账号。
具体操作如下:
使用Chrome(或火狐等可以使用Console的浏览器)打开任意一个Discuz! X论坛,登录自己的账号,之后F12打开开发者工具,切换到Console界面,输入下面代码:

location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';

如果失败,请使用下面的脚本:

(async function(){location.href=((d=(await(await fetch("./home.php?mod=spacecp&ac=avatar",{credentials:'include'})).text()).match(/\/\/\S+\/images\/ca\S+&ag/g)[0].replace('images/camera.swf?','?m=user&a=delete&'))&&confirm('真的要[永久]删除你的ID?'))?d:'';})()

之后执行,会弹出提示“真的要[永久]删除你的ID?”,确认之后会执行删除操作,有以下几点说明:

  • 页面返回数值>0,说明删除成功;
  • 删除的是 UCenter 内的帐号,UCenter 会通知 Discuz! 删除用户帐号;
  • 通知可能出现延迟,或不成功。因此可能不会立即登出网站;
  • 如果通知最终成功,该帐号及其所有帖子都会从 Discuz! 中删除;
  • 如果通知不成功,帐号登出后也将无法登录。此时可以注册一个新的同名帐号,覆盖原帐号。原帐号信息将被删除,其帖子将无法阅读(但不会删除)

参考:永久删除你在任何 Discuz! X 论坛的帐号

Last modification:July 4, 2018
如果觉得我的文章对你有用,请随意赞赏