做一个脚本小子也应该做成这样的
“脚本小子”是在“电脑高手玩家”和“黑客”之间的一个层次。。做的非常的好,就是黑客了(例如:中国非常出名的黑客刘蝶雨),当然国内还是做得一般的比较多。。玩脚本中国人在国际上很有名的人还是不多的。。国外比较好的组织就非常的多了,例如:Dror Shalev Security workshop,Umbrella, mikx.de等等等等了。。
昨天碰到一个很有意思的事情,一个朋友告诉我,别人的MSN blog 可以放置一个按钮,点击之后引出一串 flash 的效果,她让我帮他加上,还给我了一个演示页面,以及详细的说明。。我看了以后非常的惊讶!难道MSN允许执行javascript了?实际上,msn的blog是不允许直接写入html的啊?
看来具体的代码我才明白。。原来别人用的在浏览器地址栏输入javascript的方法,打开了MSN输入框的dhtml编辑控件的几个其他的属性。。。允许了html直接编辑。。给我的感觉就是。。强。。。这个想法很牛的。。
代码如下:
javascript:if%20(navigator.userAgent.indexOf("MSIE")>0%20&&%20document.all.rtebox!=null)%20{EditBox.setToolbar
("tbmode",true);EditBox.setToolbar("tbfontstyle",true);EditBox.setToolbar("tbfontsize",true);EditBox.setToolbar
("tbcut",true);EditBox.setToolbar("tbcopy",true);EditBox.setToolbar("tbpaste",true);EditBox.setToolbar
("tbbar1",true);EditBox.setToolbar("tbbar2",true);void(document.all.rtebox.style.height="400");void
(document.all.EditBox.style.height="400")}
说实话,代码的技术含量不是很高,但是绝对有创意!!
这个问题被发现之前,很少有人会想到,MSN竟然没有使用服务器段过滤。。完全靠用户输入的脚本来过滤。。而且。。最终没有使用前端的脚本过滤技术来限制脚本执行。。的确做得不够好。。。不过这个漏洞现在已经补上了。。
但是是不是还有办法突破我就懒得尝试了。。如果谁有心尝试一下。。可以申请一下MSN的blog。。挑战一下MS的技术。。证明自己是一个有技术的脚本小子。考试大编辑整理
位律师回复
0条评论