校内网蠕虫还不错，很明显某些媒体文件的安全一开始并没有被开发人员所重视，所以钻了个隐藏表单域的空子。

另外最近用媒体文件DRM许可证弹窗的也很多，颇让某些网站头疼，不过不得不说百度在这方面有先见之明。

没想到今年的XCON也开始接受XSS的议题，早先就看过墨西哥人的这个文档，其实我感觉就是些花里胡哨的东西，国内的真正研究XSS的一切都是为了实战，看看YAHOO XSS就知道了~为了Bypass Xss Filter几乎用尽了CSS样式表的语法漏洞，UNICODE字符XSS 吃字符这种在某些论坛的UBB标签漏洞里早就被实战透了，一些JS,VBS TIPS更是被挂马的用得数不胜数。。。。。但是不得不承认老外善于总结，并将某些东西创新和概念化，有些时候也能有些启发，不过个人对那些虚的东西实在是不怎么感兴趣了。

书中自有黄金屋，书中自有颜如玉。读书自古就是平头百姓成为达官贵族的一块敲门砖，尤其那些出身贫寒的书生更加渴望陡然平步青云的机遇，那是质的飞跃，衣食无忧的前提下，一家老小鸡犬****的美景就成了千古美谈，处处皆是赞美之声，满城全是仰慕之光，怪不得会将金榜提名时作为人生三大喜之一也就在情理之中。但鲤鱼跳龙门也好，鸡犬****也罢，光明的背后同时孕育着黑暗，不是每一个人都有当主角的幸运，在供需失衡的前提下，皆大欢喜的局面成了奢望，迷茫与彷徨成为不可抗拒的顽症。拿得起，放得下，是举重，拿得

今天去DZ的官网看了一下，已经无法上传jpg后缀的swf文件了，但是大家注意到了么，和DZ配套的ucenter空间的相册，是可以上传jpg后缀的swf文件的。

于是我下载了最新版本的DZ7.0以及ucenter和ucenter空间，测试后果然可以上传，那么也就是说，这里存在一个csrf漏洞，但是利用条件必须满足discuz.net域下必须有一个可以嵌入flash的页面，普通注册用户是无法在dz官网发布嵌入flash的帖子的。

另外给大家一个东西，是我写的dz6.0的通用xss提升自己为管理员的脚本。

首先是flash actionscript，可以自动检测发帖