[翻译]"Psecudo-Reflective" 跨站蠕虫剖析

本文发表于《黑客防线》

作者：Kyran

译者：riusksk(泉哥：http://riusksk.blogbus.com)

1.前言

XSS(Cross-Site Scripting )攻击主要有两种类型,一种叫永久型（persistent）,它存储在服务端,只不过需要用户访问存在漏洞的页面;另一种叫反射型 （reflective）,它存在URI中,需要用户点击链接才能触发。永久型XSS漏洞

近日在看一个牛人的代码时，看到一个非常好用的函数：extract()，它的主要作用是将数组展开，键名作为变量名，元素值为变量值，可以说为数 组的操作提供了另外一个方便的工具，比方说，可以很方便的提取$_POST或者$_GET的元素，对表单提交上来的内容不能不用一一赋值，直接使用下面代 码：

form.html

近日，DSW Lab Avert小组发现一个高度危险的QQ漏洞被披露，名为Exploit.Win32.QQCom.a，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中。黑客完全利用此漏洞可以远程控制用户电脑，进行文件拷贝、删除等恶意操作。

经过与QQ安全小组联系得知，QQ公司已经于昨日升级，修补该漏洞。DSWLAB也及时升级了超级巡警最新特征库，请广大用户升级到最新库，监测利用该漏洞的木马，强烈建议广大用户及时升级QQ，抵御病毒入侵，预防此漏洞危害系统。
腾讯QQ目前有着

The principle of Deep Freeze & How to crack Deep Freeze 6.0 

文章作者:老黄     文章来源