标签 ‘百度贴吧’ 下的日志

小议百度贴吧标题XSS漏洞 [修正]

2008/07/13 14:33 | 鬼仔 | 技术文章 | 消灭0回复

来源:80sex

先参考http://www.80sec.com/charset-xss.html啊 :)

这个漏洞在不同浏览器上表现的出来效果各不同,在GBKXX编码下FF会识别这种非法字符把它当半个宽字节和一个单引号!

但是IE不会,IE会认为这就是一个双字节字符。

所以我们发个贴,标题是类似的 [0xc1]’);alert(1)//,可能产生问题。现在在百度帖吧里输出的JS里已经构造不了BUG,百度已经判断宽字节非法字符情况,stripslashes处理了次,去掉了转义字符“\”。如下:
阅读全文 »

Tags: ,

百度贴吧周刊

2006/06/01 12:44 | 鬼仔 | 乱七八糟 | 消灭0回复


http://post.baidu.com/zhoukan

百度贴吧周刊发刊啦!
创刊号[TBZK 0605290001](贴吧周刊06年05月29日发刊第0001号)

贴吧周刊是贴吧精品与“十二精品区”的优势组合;是吧民展现吧内风采,展现个人文采的首选。在每周推出一期,面向全体吧民发行。

希望贴吧周刊成为大家互沟通了解的平台。如果有什么建议或意见,欢迎发帖至贴吧周刊吧。我们将努力做到更好!

主编:贴吧管理组

PS:六一快乐!

Tags: