引用:

原帖由 墨香 于 2008-7-14 00:52 发表


对啊，你看那些网页木马大都是js、vbs写的啊
再就是那些基于ajax的web2.0网站(特别是校内这种sns类型的网站)的跨站漏洞也是非常危险的～

所以在这里我想大家郑重推荐firefox＋noscript扩展 这个组合，是上网 ...

哈哈，把noscript安装到火狐上了
跟着墨香有肉吃。。。

引用:

原帖由 feiyi0831 于 2008-7-14 11:54 发表

哈哈，把noscript安装到火狐上了
跟着墨香有肉吃。。。

哈哈～真拉风的广告语～顶啊～

喜欢用遨游，感觉人性化些，呵呵，不过内核还是一样的

引用:

原帖由 墨香 于 2008-7-14 12:52 AM 发表


对啊，你看那些网页木马大都是js、vbs写的啊
再就是那些基于ajax的web2.0网站(特别是校内这种sns类型的网站)的跨站漏洞也是非常危险的～

所以在这里我想大家郑重推荐firefox＋noscript扩展 这个组合，是上网 ...

跨站？请介绍一下，我很想学习呢。研究了很多种方法，除了指定script的src或者用iframe能跨站，我想直接用XmlHttpRequest跨站，但是一直没有找到完美的方法。。。

引用:

原帖由 biaofengbeibei 于 2008-7-13 10:36 PM 发表

6和7可以一块用？我记得装7的时候就把6给覆盖了啊

做页面开发的一定会装两个版本的IE的，来检测不同版本IE效果，我用的是MutipleIE（包含了IE3.0，IE4.0，IE5.5，IE6.0）和IE 7。

[ 本帖最后由 chenyang 于 2008-7-14 22:34 编辑 ]

引用:

原帖由 天堂在左 于 2008-7-12 21:21 发表
用世界之窗~~~~~~~~~~~~~~~

额也装了这个~不过现在是世界之窗+opera+IE5。
用IE7时老是出问题，然后能把我的整个电脑弄瘫痪~

引用:

原帖由 民工于某 于 2008-7-14 21:24 发表

校内有什么跨站漏洞?
说说看,有奖.

xiaonei现在还有不少地方可以跨的
不过估计掀不起像第一次那样规模的xss worm了啊～
如果于总有兴趣咱们私下聊吧～
我QQ用站内信发给你啊～

引用:

原帖由 chenyang 于 2008-7-14 22:26 发表

跨站？请介绍一下，我很想学习呢。研究了很多种方法，除了指定script的src或者用iframe能跨站，我想直接用XmlHttpRequest跨站，但是一直没有找到完美的方法。。。

我菜鸟一个，也是一知半解的，谁让咱又不是专业做web安全的啊～
不过你说的XmlHttpRequest可以写到外部js脚本里啊，
再说css中expression也是可以执行js脚本的，你也可以写到一个css文件中，然后@import进来啊
至于怎么编写跨浏览器的通用代码你应该比我懂啊～

你所说的"没有找到完美的方法"是不是指IE7和firefox的跨域问题啊?这是个公认难题,IE6的跨域0day也是前段时间一网友刚刚在pst第二期的maginze上公布出来~
如果能解决跨域问题那可是功德无量~

另外要说的是很多html标签都可以跨的，不只是script和iframe啊,根据浏览器的不同，一些标签的跨站代码形式也是有差别的
一些常用浏览器常用标签的跨站测试代码在
http://ha.ckers.org/xss.html
都有收集的～国外也有不少类似这样的xssdb项目

貌似不少网友吧xss分了很多类,比如还有什么基于DOM的xss了，这些我也没有深入研究过啊～
不过估计原理都是一样的吧,都是找过滤不严的地方,然后写代码劫持浏览器做你想做的事~

引用:

原帖由 墨香 于 2008-7-15 12:34 AM 发表


我菜鸟一个，也是一知半解的，谁让咱又不是专业做web安全的啊～
不过你说的XmlHttpRequest可以写到外部js脚本里啊，
再说css中expression也是可以执行js脚本的，你也可以写到一个css文件中，然后@import进来啊 ...

非常感谢。
虽然我知道一些怎么浏览器兼容的代码，但仅限于常规、安全的代码，这种劫持浏览器代码的东西，我水平差的还远着呢。。。

XMLHTTPREQUEST写到外部？我想在我的页面中通过xmlhttprequest读取baidu搜索的结果？请问怎么做呢？不是我故意出难题，是前几天民工于某出了一道在页面中嵌入百度的题，我才想到这个方法，iframe不行，会被百度的JS重定位。

BTW:我是做WEB页面的(CSS/HTML/JS)，不是做WEB安全的。。。

[ 本帖最后由 chenyang 于 2008-7-15 16:55 编辑 ]

引用:

原帖由 chenyang 于 2008-7-15 14:36 发表
非常感谢。
虽然我知道一些怎么浏览器兼容的代码，但仅限于常规、安全的代码，这种劫持浏览器代码的东西，我水平差的还远着呢。。。

XMLHTTPREQUEST写到外部？我想在我的页面中通过xmlhttprequest读取baidu搜 ...

唉~于总那帖子我看来啊~也动手试了,不过没成功
当时我回贴也揣测了一下可能出现这种结果的原因啊~可惜水平不够,对解决那个问题没有实质性帮助~
http://www.yylt.org/viewthread.p ... uid=23342#pid600518

另外firefox下不允许跨域的XmlHttpRequest请求啊,所以正常情况下读不到东西~
要是可以找到baidu.com下的xss,说不定可以读取到的,不过这也只是揣测~没实践过啊~
唉~囧~

我可以负责任的告诉大家，真正的木马网页入侵是不分ie核心还是ff核心的
大家可以找几个宣称绝无病毒的qingse网站试试...
ps：杀毒不够强的还是不要有任何想法，否则吃不了兜着走吧

引用:

原帖由 猿飞佐助 于 2008-7-20 10:23 发表
我可以负责任的告诉大家，真正的木马网页入侵是不分ie核心还是ff核心的
大家可以找几个宣称绝无病毒的qingse网站试试...
ps：杀毒不够强的还是不要有任何想法，否则吃不了兜着走吧

你给找个保险点的？

引用:

原帖由 沙加 于 2008-7-20 10:24 发表

你给找个保险点的？

HOHO守法的好公民不可以传播这些东西...只是建议大家没事测试下电脑的安全性...

还是TT用着习惯

引用:

原帖由 卫斯理 于 2008-7-20 10:44 发表
还是TT用着习惯

套套？

引用:

原帖由 RALF 于 2008-7-20 14:56 发表

套套？

NO NO，此TT非彼套套也，是腾讯开发的一种浏览器。