k**n 发帖数: 3989 | 1 xss 很容易防的, 没听说因嗝废食的.
何况form 里的参数一样可用作xss攻击, 安不安全与是不是在url 没关系. |
|
c*********e 发帖数: 16335 | 2 现在网站攻击特别普遍,比如xss就是最流行的方式。把参数加在url里,而且是个银行
网站,tangerine这样做安全性好吗?好多网站都是用的j2ee servlet来做的。为什么
tangerine的做法和别的网站不同的。有大虾给比较一下吗?为什么现在有很多网站用
html来建站,把参数写在url里呢? |
|
c*********e 发帖数: 16335 | 3 可以试试写个js,然后通过把这个js的location放在url里面来xss.这样能得到cookie里
面的数据。这个是现在很流行的hacker的做法。 |
|
k**n 发帖数: 3989 | 4 cookie里的数据本来就在客户端, 把服务端的数据搞出来才是hack.
服务端本来就可以支持form post与url 两种参数方式。
防XSS简单的来说就是在服务端入手,验证所有用户输入的数据,不要把用户输入不经
处理就显示在页面上。 |
|
R********0 发帖数: 4134 | 5 跨站脚本漏洞实例
例 1
类型1:CSS跨站
[HTML_REMOVED]//style属性值用户可控或者用户可以直接编辑模板
恶意用户可以提交“xss:expr/*XSS*/ession(alert('XSS'))”作为STYLE标签的属性值
,或者在编辑模板的地方,
恶意用户可以将JS代码写入CSS文件,导致跨站漏洞
类型2:HTML标签跨站
[HTML_REMOVED]">
由于程序没有对标签进行转义,恶意用户可以提交
http://www.test.com/search.php? evil_content =">[HTML_REMOVED]alert(/XSS/)[HTML_REMOVED]<
执行任意JS代码,导致跨站漏洞
类型3:Javascript跨站
[HTML_REMOVED]
var UID = '0';
var isLogin = false;
var KEY = '';//KEY变量用户可控
var FROMTAG = 1;
[HTML_REMOVED]
用户可以提交:
http://www.test.com/news/tag.jsp?key=%27;alert... 阅读全帖 |
|
a******e 发帖数: 982 | 6 這是兩三行的小題目吧?
用 Haskell
powerset :: [a] -> [[a]]
powerset [] = [[]]
powerset (x:xs) = xss ++ map (x:) xss
where xss = powerset xs |
|
r****n 发帖数: 7223 | 7 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
H*********n 发帖数: 347 | 8 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取... 阅读全帖 |
|
l*********m 发帖数: 16971 | 9 【 以下文字转载自 MoneyFriends 俱乐部 】
发信人: cappucino (the color not the coffee), 信区: MoneyFriends
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Thu Dec 6 00:39:36 2012, 美东)
【 以下文字转载自 WashingtonDC 讨论区 】
发信人: mmyych1 (Now we are one!), 信区: WashingtonDC
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Thu Dec 6 00:25:50 2012, 美东)
发信人: leooooo (有多远滚多远), 信区: PennySaver
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:22:39 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (... 阅读全帖 |
|
z**********3 发帖数: 11979 | 10 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
h*h 发帖数: 18873 | 11 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
A**A 发帖数: 3392 | 12 【 以下文字转载自 LeisureTime 讨论区 】
发信人: LisaHayes (中尉), 信区: LeisureTime
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:55:48 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗I... 阅读全帖 |
|
p**********u 发帖数: 15479 | 13 【 以下文字转载自 NewYork 讨论区 】
发信人: ja94 (世上最幸福的人-- taliban的妻子), 信区: NewYork
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 22:37:35 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: Sex
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:52:30 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续... 阅读全帖 |
|
j**4 发帖数: 10425 | 14 【 以下文字转载自 Sex 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: Sex
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:52:30 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复我,我会... 阅读全帖 |
|
s*******n 发帖数: 12995 | 15 这可比V叔卖菜来钱快多了。知识就是金钱。
要去下面链接要回伪币:
http://www.mitbbs.com/article_t/sysop/31328113.html
【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续... 阅读全帖 |
|
m*****1 发帖数: 1439 | 16 【 以下文字转载自 PennySaver 讨论区 】
发信人: leooooo (有多远滚多远), 信区: PennySaver
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:22:39 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗I... 阅读全帖 |
|
n*2 发帖数: 19062 | 17 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
g*********o 发帖数: 20357 | 18 【 以下文字转载自 LosAngeles 讨论区 】
发信人: ASLA (Death to all who oppose us!), 信区: LosAngeles
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 23:31:48 2012, 美东)
发信人: LisaHayes (中尉), 信区: LeisureTime
标 题: 近期被改昵称,转WB的同学请进 (转载)
发信站: BBS 未名空间站 (Wed Dec 5 21:55:48 2012, 美东)
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天... 阅读全帖 |
|
L*******s 发帖数: 15925 | 19 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获... 阅读全帖 |
|
b*s 发帖数: 82482 | 20 原来是sex和ebiz的成员被黑啊。还是我等正经人安全
【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏私信我,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就... 阅读全帖 |
|
g******h 发帖数: 291 | 21 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
w***s 发帖数: 2658 | 22 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
a****t 发帖数: 7049 | 23 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
M**a 发帖数: 304 | 24 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
s*********9 发帖数: 9860 | 25 发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作
出付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽... 阅读全帖 |
|
n*2 发帖数: 19062 | 26 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
s****y 发帖数: 503 | 27 面试被问到web security, vulnerabilities,secure coding practices之类的问题。
我说只知道SQL injection,还有哪些可说的?
如果回答XSS,那么应该怎么解决XSS呢? |
|
c*******9 发帖数: 9032 | 28 所以考虑用haskell这种严谨的语言容易对request进行严格检查。看了下yesod框架和
xss-sanitze包似乎防XSS攻击比较有效。 |
|
c*********e 发帖数: 16335 | 29 XSS/csrf/Sql injection是因为用户数据里有tags, ' "之类的东西。和语言无关。
我最近做了一网站,为了防止sql injection,csrf,xss,用到了很多种方法。escape
' "据说不能防止所有的sql injection,但是我一直想知道一个例子。 |
|
D****g 发帖数: 2860 | 30 on my solaris. ld reported several symbols cannot be found, which
belong to Xss lib. Seem that soloris does not carry Xss lib.
anyone has a clue how to build it? Thanks. |
|
H*********n 发帖数: 347 | 31 上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法获取您的
这些信息,也没有劫持cookie,虽然后者是XSS可以做到的。)
避免自己的个人信息页影响其他人:
请修改个人联系方式:http://www.mitbbs.com/mitbbs_user_info3.php,清空MSN帐号里的信息即可。
再一次向... 阅读全帖 |
|
a***a 发帖数: 12425 | 32 始作俑者已经招供。
版大可以洗白了。
==============================
http://www.mitbbs.com/article_t1/sysop/31328113_0_1.html
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作
出赔付,谢谢!
担心WB持续... 阅读全帖 |
|
n*2 发帖数: 19062 | 33 【 以下文字转载自 sysop 讨论区 】
发信人: Holyclayman (俺有罪,俺悔过), 信区: sysop
标 题: 近期被改昵称,转WB的同学请进
发信站: BBS 未名空间站 (Wed Dec 5 21:07:20 2012, 美东)
上月底我发现MIT的个人信息页存在XSS漏洞的时候,写了个脚本劫持登录session来偷
偷修改用户的心情。几天后在第二版(昨天发布)里加了个转帐1WB到HEROGG俱乐部的
功能,现在已经下线,但由于host攻击脚本的google服务器还会cache一天左右时间,
因此余波还会持续一阵。
添加转账功能纯属娱乐,不是想偷大家的WB,更与HEROGG俱乐部及其成员无关。由于没
有预想到在上线后十几个小时内有几千人次转账发生,给各位网友(特别是众多ebiz版
和sex版的ID们)造成很多不便,非常抱歉!请被盗ID截屏回复本帖,我会用个人WB作出
赔付,谢谢!
担心WB持续被盗的同学:
请在一天内不要点击其他用户的个人简介,一天后脚本在google服务器的cache时间结
束后,应该就恢复正常了。(您的帐号密码是安全的,目前情况下我没有办法... 阅读全帖 |
|
r*****n 发帖数: 4844 | 34 前言
你是否觉得自己从学校毕业的时候只做过小玩具一样的程序?走入职场后哪怕没有什么
经验也可以把以下这些课外练习走一遍(朋友的抱怨:学校课程总是从理论出发,作业
项目都看不出有什么实际作用,不如从工作中的需求出发)
建议:
不要乱买书,不要乱追新技术新名词,基础的东西经过很长时间积累而且还会在未来至
少10年通用。
回顾一下历史,看看历史上时间线上技术的发展,你才能明白明天会是什么样。
一定要动手,例子不管多么简单,建议至少自己手敲一遍看看是否理解了里头的细枝末
节。
一定要学会思考,思考为什么要这样,而不是那样。还要举一反三地思考。
注:你也许会很奇怪为什么下面的东西很偏Unix/Linux,这是因为我觉得Windows下的
编程可能会在未来很没有前途,原因如下:
现在的用户界面几乎被两个东西主宰了,1)Web,2)移动设备iOS或Android。Windows
的图形界面不吃香了。
越来越多的企业在用成本低性能高的Linux和各种开源技术来构架其系统,Windows的成
本太高了。
微软的东西变得太快了,很不持久,他们完全是在玩弄程序员。详情参见《Windows编
程革命史》
所以... 阅读全帖 |
|
t**********0 发帖数: 9359 | 35 发信人: lb890624 (Stukov), 信区: GunsAndGears
标 题: Re: 凌晨4点被敲门。。。
发信站: BBS 未名空间站 (Wed Dec 19 14:27:34 2012, 美东)
我之前看过很多帖子说鸣枪警告可能比一枪打死招来更大的麻烦。
【 在 Richard630 (个人信息页存在XSS漏洞) 的大作中提到: 】 |
|
T****M 发帖数: 1913 | 36 ☆─────────────────────────────────────☆
TempBM (Temp) 于 (Mon Dec 24 17:42:05 2012, 美东) 提到:
2012年就快过去了,祝福大家圣诞快乐!
活动规则:
内容与圣诞节有关,可以说说怎么庆祝,也可以送祝福,自由发挥,要求至少20字。
如果有贴自己拍的照片展示圣诞节,一张图额外奖励1个包子,奖励上限8个包子。
奖励说明:
每个参与ID奖励双黄
活动时间:
发帖之日起至美东时间Dec 26 23:59:59 2012
☆─────────────────────────────────────☆
greenspring (红唇吹彻梅花曲,我愿身为碧玉箫!) 于 (Mon Dec 24 17:48:51 2012, 美东) 提到:
祝大家圣诞快乐,末日后第一个圣诞。 在新的一年里万事如意心想事成!
☆─────────────────────────────────────☆
GIML (24/7) 于 (Mon Dec 24 19:03:23 2012, 美东) 提到:
Xmas... 阅读全帖 |
|
R****a 发帖数: 6858 | 37 网站曝光中国下一代空间飞行器“快舟”!
来源: (a) 于 2013-01-31 07:13:32[档案] [博客] [旧帖] [转至博客] [给我悄悄话
] 本文已被阅读:623次
字体:调大/调小/重置 | 加入书签| 打印| 所有跟帖 | 加跟贴| 查看当前最热讨论主题
想象一下,在未来的太空作战中,一旦敌方将我方的卫星击毁,我方可以通过快速反应
的卫星发射系统迅速补充损失卫星,并扭转战场颓势。 当敌卫星进入我方预警范围,
可以通过快速反应的太空卫星将敌卫星捕获和破坏,敌人的空间资产将迅速贬值,这是
多么诱人的应用前景啊。
【中国下一代空间飞行器“快舟”正在研发中】下图是湖北孝感市环保局发布的一则公
示信息,时间是2012年2月。其内容是湖北航天技术研究院的“快舟”应急空间飞行器
研制保障条件建设项目。从这个消息,我们可以断定,此前多次被无异间披露的,快舟
空间飞船计划,应该已经完成论证,现在正在研发中。
2002年,美国为了称霸世界和控制太空的目的,开始研究太空快速响应作战系统,
他要把上述作战想象变为现实,而2013年在中国的官方媒体也开始陆续披露相似的作战
系统,中美太空大... 阅读全帖 |
|
T****M 发帖数: 1913 | 38 ☆─────────────────────────────────────☆
TempBM (Temp) 于 (Fri Feb 8 17:34:49 2013, 美东) 提到:
新春佳节,祝福各位网友阖家辛福,心想事成!
照例发放包子,但是也有要求:不能少于20字,RE、DING不算,可以送祝福,也可以随
意说说和春节过年有关的事。每个不重复ID奖励2个大粽子。
如果有质量较高、或者奔照片(带有年味的,例如年夜饭等),额外再奖励1个。
活动截止时间:美东时间 2月11日 00:00:00前
☆─────────────────────────────────────☆
Acartia (深水鱼) 于 (Fri Feb 8 17:38:49 2013, 美东) 提到:
天公作美,大风雪暴留人在家,不用上班,东部今年过得美呀
☆─────────────────────────────────────☆
yyman (yy) 于 (Fri Feb 8 17:41:42 2013, 美东) 提到:
恭喜发财,身体健康,今天暴雪不用上班,在家炒股,小赚,... 阅读全帖 |
|
N*******g 发帖数: 370 | 39 应用测试服务商Cenzic公司在一份最新的报告中指出,在它测试的所有基于Web的应用
和移动应用中,有99%都存在可以被网络犯罪分子利用的安全漏洞,而且每个应用的漏
洞数量平均达13个。
报告中的图表展示了存在漏洞的领域,报告本身则详细介绍了这些问题在涉及到web、
云、移动应用时的出现频率和严重程度。最常见的问题类型是跨站脚本攻击(即上图中
XSS),它导致移动应用容易遭受个人隐私、会话管理等方面的威胁。
Cenzic首席技术官斯科特·帕西(Scott Parcel)表示,公司必须重视应用层的安全性
,目前很多公司显然对现有和潜在的威胁视若无睹。 “急于创建大量互相连接的移动
应用,导致公司将保护墙打穿,装上了没有上锁的门,安全问题非常严重。”帕西说。
业界人士评论说:也许一些云服务和web服务会驳斥Cenzic的报告,但看到过这份报告
的用户还是会忧心忡忡,夜不能寐。 |
|
v**e 发帖数: 8422 | 40 美国太空武器层出不穷 3种反导系统均可反卫星
2011年04月18日 11:32
环球时报
.
资料图:美国空军X-37B航天器被认为是未来的太空战机
.
本报特约记者 张家齐 卢梦之 纪双城
美国多名高级官员近日纷纷抱怨正受到中国太空武器的威胁。据美联社13日报道,
美国空军航天司令部司令威廉姆•希尔顿将军再次强调中国反卫星武器带来的“
反空间”威胁,他对美国卫星可能遭受来自中国等国地面或太空的反制威胁表示担忧。
而五角大楼负责航天政策的副部长助理则表示,美国正在“小心地注视着”中国发展包
括激光武器在内的一系列太空能力。有分析认为,美高官的表态,可能与美国将要削减
太空预算动了其“太空蛋糕”有关。
航天高官炒中国空间威胁
希尔顿在周二举行的国家航天座谈会上强调了来自地面或空间,针对卫星的“反空
间”威胁。希尔顿说,中国自上世纪八十年代末就开始发展导弹防御技术和陆基太空监
视网络,2007年用一枚导弹击落了一颗本国的卫星,2010年又进行了陆基中段反导试验
,中国不只具备击落太空飞行器的能力,还具备一系列太空能力。
国防部负责航天政策的副部长助理格雷戈里•舒... 阅读全帖 |
|
T**********1 发帖数: 2406 | 41 制衡 my xss.
Law and order is the only effective 制衡.
You are an idixt to expect otherwise.
Now those idixts in CA are eating their own shxt.
They deserve every bit of it. |
|
t*********u 发帖数: 26311 | 42 安神真有钱
[在 anywhere (早已经习惯一个人难过) 的大作中提到:]
:选里程票的时候就已经在可以买商务仓那里开始的啊
:【 在 Richard630 (个人信息页存在XSS漏洞) 的大作中提到: 】
:: 先买票,然后买升级
:...........
[发自未名空间iPhone版] |
|
T*******7 发帖数: 636 | 43 ☆─────────────────────────────────────☆
drule (长期求正规DR/amzn GC) 于 (Fri Dec 28 23:13:26 2012, 美东) 提到:
发信人: drule (长期求正规DR/amzn GC), 信区: ebiz
标 题: 2000个包子求祝福老爹顺利康复
发信站: BBS 未名空间站 (Thu Dec 27 23:31:12 2012, 美东)
暂时赶不回去,求bless
update: 手术顺利
晚上回来找人发包子
☆─────────────────────────────────────☆
window16 (心灵之窗) 于 (Fri Dec 28 23:16:16 2012, 美东) 提到:
祝一切顺利!
☆─────────────────────────────────────☆
lulushz (lulushz) 于 (Fri Dec 28 23:16:22 2012, 美东) 提到:
bless!
☆────────────────────────────────────... 阅读全帖 |
|
N*********c 发帖数: 102 | 44 Fresh master,由于自己家庭原因,只能去休斯顿工作。我自己主要对web和mobile比
较感兴趣,但休斯顿这边这样的公司不太多,这家算是还不错的了。网上资料很少,我
把自己裸面的经历发上来给大家参考下。
面的是ChaiOne这个公司,跟传统的IT公司不太一样,没问算法和数据结构
之类的问题,都问的挺实际的题目,列下technical interview 里面的题
1. coffee -> js,一个coffe文件,最后编译的时候比如
x = 5
console.log x
被编译成了
(function() {
var x = 5;
console.log("x is " + x);
})();
请问这是为啥?
2. Cache 有哪几种?Page caching 如果有类似这样的code
Welcome <%= username %> 第一次登录的人是render的,然后cache了,第二个人登录
了,那不是直接读cache,页面就是跟前一个人一样的了?怎么破
3. 写测试,你有一个order pizza的网站,从你下订单到最后发确认邮件中间的过... 阅读全帖 |
|
e*****t 发帖数: 1005 | 45 这个很多时候是客户端(browser)的事情,因为要防止有的网页利用你已经logged in的
cookie/session去做malicious的action。
具体例子,如果facebook的cookie不分domain,那当你访问我的网页可以直接有个ajax
call去facebook发一条消息。记得过去myspace就遭受过XSS的attack. |
|
g**e 发帖数: 6127 | 46 server端经常也是需要的,比如你的page要调用另外一个组的widget,而他们的domain
不同。主流浏览器现在都有xss prevention了吧。我front end基本不懂,还请大牛指点
ajax |
|
e*****t 发帖数: 1005 | 47 当然,怎么都离不开server端。 比如说刚刚举的例子,就需要server端设置cookie的
属性啊,比如说domain,path,还有一个很重要的就是httponly flag,这样javascript
,甚至java applet都不可见这个cookie了。
浏览器只是提供这些feature的support,最终都是server端来设置。
防止XSS现在大多数网站都搞的okay,现在cross-domain的问题是如果你的website要和
别人的website interact,怎么搞。流行的方案自然是oauth.
domain
指点 |
|
e*****t 发帖数: 1005 | 48 永远可以你的webpage永远可以含有去别的website的link或者ajax call啊。否则那些
计数器,排名,广告这些这么搞?关键是security,如果是public什么问题都没有,可
是如果是需要authentication或者authorization的,人家就需要你somehow是验证过的
来防止XSS。
所以这个东西就是某种token (cookie本质上不也是header里面的token嘛)。oauth就
是让你的server和人家的server negotiate一个token,这个token包含了一个negotiate
的expiration time和允许的permissions,这就是为什么你访问很多网站会出现说他们
要用你的facebook或者什么其他网站的permissions。 |
|
n******r 发帖数: 869 | 49 贡献好文:
http://coolshell.cn/articles/4990.html
月光博客6月12日发表了《写给新手程序员的一封信》,翻译自《An open letter to
those who want to start programming》,我的朋友(他在本站的id是Mailper)告诉
我,他希望在酷壳上看到一篇更具操作性的文章。因为他也是喜欢编程和技术的家伙,
于是,我让他把他的一些学习Python和Web编程的一些点滴总结一下。于是他给我发来
了一些他的心得和经历,我在把他的心得做了不多的增改,并根据我的经历增加了“进
阶”一节。这是一篇由新手和我这个老家伙根据我们的经历完成的文章。
我的这个朋友把这篇文章取名叫Build Your Programming Technical Skills,我实在
不知道用中文怎么翻译,但我在写的过程中,我觉得这很像一个打网游做任务升级的一
个过程,所以取名叫“技术练级攻略”,题目有点大,呵呵,这个标题纯粹是为了好玩
。这里仅仅是在分享Mailper和我个人的学习经历。(注:省去了我作为一个初学者曾
经学习过的一些技术(今天明显... 阅读全帖 |
|