鬼仔's Blog

文章作者：茄子宝
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

不说废话，且看怎么实现，我先拿SOHU BLOG做示范.

1.测试过滤字符,下面都是构造XSS所需要的关键字符(未包含全角字符,空格是个TABLE,\/前是真正的空格),在个人档案处看过滤了哪些.

阅读全文 »

鬼仔：记得以前有个 Myspace 的XSS worm。

作者：monyer
来源：梦之光芒

搜狐博客存在ajax hacking漏洞，可以实现web worm的功能，下面是具体的利用方法：

标准的ajax数据提交，该ajax的XmlHttp方式为微软msdn提供的标准方法！
阅读全文 »

来源：FreeXploiT

本帖子原来是T_Torchidy的投稿文章，被tombkeeper转入论坛。

在这之前先鄙视下一些人发现漏洞就挂马的无耻行为，我曾经因为一个公开的漏洞而在一个网站站上发现24个各个所谓组织，所谓黑客的后门，鄙视！
所谓蠕虫，其本质是利用计算机或者应用程序的漏洞进行感染和传播的一段程序，传统的蠕虫一般利用系统方面的漏洞来实现自身的传播，但是由于蠕虫的肆虐，一般的管理员或安装了防火墙或者在网络节点上做了限制。，传播受到限制。但是与此同时，web服务的广泛兴起，各种web程序的漏洞不断被发现，web服务的特殊性以及搜索引擎的强大功能就给了web蠕虫滋生的温床，下面就给大家讲述一个在php环境下的web蠕虫的简单实现。

一 、需要的程序漏洞
阅读全文 »

在火狐看到raystyle这样一段话：

有一个人在MySpace (一个交友网站)上写了一只利用Ajax技术来传播的蠕虫，当一个人登陆他的页面时就会改写自己页面的加一段字 “but most of all, samy is my hero”，同时也会把这个javascript加入到自己的页面在，就这样20小时内就传染了一百万个用户，最后导致MySpace关站维修。

然后根据他给出的连接看到了这篇文章（直接到原地址去看吧）：
http://namb.la/popular/tech.html

关于这篇文章的几张图：
http://namb.la/popular/919d.jpg
http://namb.la/popular/msn.jpg
http://namb.la/popular/hero.jpg