和很多软件一样，PHP也有复活节彩蛋，相信大家有见过一部分，这里是所有的。

如果你没有听说过，可以试试：
找任意一个你确认运行着PHP的站点，例如www.baidu.com，在其网址结尾加上?=及以下任意一段字符后访问：

PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000  (PHP Credits) PHPE9568F34-D428-11d2-A769-00AA001ACF42    (PHP Logo) PHPE9568F35-D428-11d2-A769-00AA001ACF42    (Zend Logo) PHPE9568F36-D428-11d2-A769-00AA001ACF42    (Easter Egg)

例如：
     http://baidu.com/index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
     http://baidu.com/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
     http://baidu.com/index.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
    

关闭办法:

php.ini 中将 expose_php 设为 Off

findstr /s /i /p /m * d:\wwwroot\*.* >>c:\mg-1.txt
findstr /s /i /p /m ** d:\wwwroot\*.* >>c:\mg-1.txt
findstr /s /i /p /m 枪支 d:\wwwroot\*.* >>c:\mg-1.txt
findstr /s /i /p /m 爆炸物 d:\wwwroot\*.* >>c:\mg-1.txt

help for findst

 

C:\\Documents and Settings\\benben>findstr /?
在文件中寻找字符串。

FINDSTR [/B] [/E] [/L] [/R] [/S] [/I] [/X] [/V] [/N] [/M] [/O] [/F:file]
    [/C:string] [/G:file] [/D:dir list] [/A:color attributes] [/OFF[LINE]]
    strings [[drive:][path]filename[ ...]]

/B     在一行的开始配对模式。
/E     在一行的结尾配对模式。
/L     按字使用搜索字符串。
/R     将搜索字符串作为一般表达

姓名：Lincoln Burrows           
编号：79238
所在位置： 死刑区，18号牢房
所犯罪行：一级谋杀，恶意用枪
刑期：电死     
剩余刑期：一天 
距可保释时间：禁止保释
注释：Lincoln Burrows的年轻时的所作所为表明他将最终进入Fox River监狱。他从Morgan高中辍学的时候只有10年级，那时他就发现很多情况下法律都不能解决问题。前科包括偷窃入狱2个月，破坏别人财产入狱3个月，斗殴入狱6个月，占有毒品入狱6个月，斗殴入狱10个月。
Burrows上诉过，不过陪审团都认为他杀害了Terrence Steadman,美利坚合众国副总统的兄弟。
3月12号，Lincoln的最终上诉被否决，死刑日

　　今年互联网上比较火热的话题当然是关于WEB2.0的应用，其中AJAX又是WEB2.0的核心之一。AJAX是Asynchronous JavaScript and XML 的缩写。它并不是一门新的语言或技术，它实际上是几项技术按一定的方式组合在一在同共的协作中发挥各自的作用，它包括：使用XHTML和CSS标准化呈现；使用DOM实现动态显示和交互；使用XML和XSLT进行数据交换与处理；使用XMLHttpRequest进行异步数据读取；最后用JavaScript绑定和处理所有数据。
　　Ajax的工作原理相当于在用户和服务器之间加了—个中间层，使用户操作与服务器响应异步化。这样把以前的一些服务器负担的工作转嫁到客户端，利于客户端闲置的处理能力来处理，减轻服务器和带宽的负担，从而达到节约ISP的空间及带宽租用成本的目的。
　　我们以两个验证通行证帐号是否存在的例子来讲述AJAX在实际中的应用：
　　(1)用文本字符串的方式返回服务器的响应来验证网易通行证帐号是否存在；
　　(2)以XMLDocument对象方式返回响应来验证金山

　You and I, we have met before.
　Through the magic of a moment in cyber space
　Driven by a passion to win
　playing heart to heart, face to face
　The challenge of a life time
　Stands before us now
　
　Beyond the game
　In the shadow of global gazes
　We have come to decide our fate
　We're here to celebrate
　Beyond the game
　Beyond the game
　At last the moment's at hand
　All we need is to believe we can
　We'll make our stand
　Beyond the game
　Beyond the game
　Beyond the game
　The world cyber games
　
　The teams are here, the spirit is right
　we are connected now in a powerful way
　We celebrate our diversity
　Around the world with the passion to play
　The planet will be watching
　The message will be heared
　
　Beyond the game
　In the shadow of global gazes
　We have come to decide our f

Also called the "Samy worm" or "JS.Spacehero worm"

Back to story

Please note that this code and explanation was only released AFTER MySpace resolved this.
None of this would work on MySpace at the time it was released and it will not work now. Otherwise, there would have been mayhem.
Now, let's talk more about the problems encountered, workarounds, and how it worked in general.

1) Myspace blocks a lot of tags. In fact, they only seem to allow <a>, <img>s, and <div>s...maybe a few others (<embed>'s, I think). They wouldn't allow <script>s, <body>s, onClicks, onAnythings, href's with javascript, etc...However, some browsers (IE, some versions of Safari, others) allow javascript within CSS tags. We needed javascript to get any of this to even work.
Example: <div style="background:url('javascript:alert(1)')">

2

Code: ________________________________________________________________________
           /      \
        \  \  ,,  /  /
         '-.`\()/`.-'
        .--_'(  )'_--.
       / /` /`""`\ `\ \           * SpiderZ ForumZ Security *
        |  |  ><  |  |
        \  \      /  /
            '.__.'       
Xss Personal Notes phpBB ( 2.0.x - 2.0.21 )
Author: SpiderZ
Sito: http://www.spiderz.altervista.org
Sito2: https://www.spiderz.netsons.org
_________________________________________________________________________
Download m

文章作者：茄子宝
原始连接：http://www.eviloctal.com/
首先我已经在 《XSS worm初尝试》http://forum.eviloctal.com/read-htm-tid-24263-page-e.html 这个帖子里详细说明了SOHU这个XSS漏洞.这个漏洞要写出XSS worm有两个限制：
1.XSS代码长度限制，不能超过2000字符。
分析：写成JAVACRIPT后需转HTML编码十进制，一小段便超过2000字符了。
2.“域权限”限制。
分析：XSS worm的POST数据相关代码不能从站外调用，通俗点讲就是不能站外提交数据，包括调用外部JS用document.write方法，所以只能把POST数据的代码全部写到XSS里。
从正常的脚本代码上估计是没什么方法了，只有靠浏览器的漏洞，突破以上两点的思路：
1.直接用XSS代码写一个框架网页.
javascript:for(i=0;i<document.images.length;i++){if(document.images.src.indexOf('j')==0)document.

在aspx后缀文件前面加个～（波浪线）可以暴出物理路径