搜索爱好者消息 网易有道搜索快贴（http://tie.youdao.com）是一个小型BBS频道，功能类似百度贴吧。10日上午在使用快贴服务时发现，快贴发布帖子和回帖时均支持插入视频链接，笔者随即写了一个空白SWF文件，上传后通过回帖插入链接，结果顺利发布。

　　笔者随即有写了一个含弹窗脚本的SWF文件，回帖后同样顺利弹出笔者预设的窗口，至此有道快贴高危漏洞曝光。

　　由于有道是国内著名门户网站网易旗下的搜索引擎，用户量巨大，如被别有居心者利用，如弹出挂马网页等，将使所有快贴用户遭受病毒风险。经笔者测试，有道快贴允许用户匿名发帖、匿名回复，甚至没有限制同IP发帖数量，用心不良者可以大量发帖或者大量回复已有帖子，将导致所有浏览用户面临中毒危险。而同样支持视频外链的百度贴吧，则有相对安全的机制，限制只能引用知名视频网站的视频链接。

图：有道快贴直接输入视频链接(测试链接已删除)

　　至笔者发现时至此稿发布已有12个小时，笔者在有贴首页的数个帖子、甚至制订的帖子进行测试，竟然没有被处理，仍能正常弹窗。对网易工作人员实在不敢恭维。

　　建议所有有道用户在网易发布安全公告前停止使用有道快贴服务，必须使用者请确保安装安全防护软件。因为制作一个弹窗SWF文件非常简单，居心不良者或许在看到此文一分钟内即可大量发布到有道快贴内。

     原文发布于搜索引擎大全：http://news.geiwosou.net/youdao/200911/1004381.html