这个倒有点意思。可以说突破防XSS思路吧。但是假如成功，然倒就一定可以进。

我自认为我XSS目前没一次成功的。可能我对XSS还不够深入吧

今天有朋友和我讨论了一下关于百度富文本编辑器 XSS Filter的问题，关于过滤规则可以看我之前在WoBB的终章里总结的8条规则。

这里我可以把我测试XSS Filter的部分html发一下，希望能帮助到某些朋友。(当然我最终还是没绕过去)

如下：

<img src=

来源：知道安全

发布日期：2008-7-18

最后更新日期：2008-7-18 15：57（GMT)

受影响系统：
Sina UC
新浪网络电视
详细:
知道安全于近期捕获该漏洞的利用代码,在7月份网络上已经出现利用此漏洞的攻击代码.可导致用户在访问到黑客构造的攻击网页后,可能将恶意文件下载到系统安装,并且随着系统启动而执行.

测试方法:

以下代码可能包含恶意行为,请

说实在的PHP我并不怎么样,可以说是初学者吧

慢慢学习

说明：

php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。phpinfo()是用来显示当前php环境的一个函数，许多站点和程序都会将-phpinfo放在自己的站点上或者在程序里显示，但是phpinfo里存在一些安全问题，导致精心构造数据就可以产生一个跨站脚本漏洞，可以被用来进行攻击。

漏洞成因：

phpinfo页面对输入的参数都做了详细的过滤，但是没有对输出的进行charset的指定

最近帮朋友维护服务器和帮他的网站程序添加点防注入或是跨站漏洞之类的安全

所以没什么及时更新博客,最近还在为找暑假工烦恼呢

英雄末路啊//

(1)char、varchar、text和nchar、nvarchar、ntext
char和varchar的长度都在1到8000之间，它们的区别在于：
char：是定长字符数据，，速度快。
varchar：是变长字符数据,节省储存空间，但是存取速度慢。
所谓定长就是长度固定的，当输入的数据长度没有达到指定的长度时将自动以英文空格在其后面填充，使长度达到相应的长度；

有了前一篇,发现也有不足的地方,在帖一篇

入侵渗透涉及许多知识和技术，并不是一些人用一两招就可以搞定的。
一，踩点
踩点可以了解目标主机和网络的一些基本的安全信息，主要有；
1，管理员联系信息，电话号，传真号；
2，IP地址范围；
3，DNS服务器；
4，邮件服务器。
相关搜索方法：
1，搜索网页。
确定目标信息1，为以后发动字典和木马入侵做准备；寻找网页源代码找注释和
隐藏域，寻找隐藏域中的"FORM"标记。例如：
<FORM action=/

ZWELL大哥的,很好的一个人,华为高级工程师....是我佩服人之一

贴这个主要也是为给那刚接触这一'伟大'事业的人对这事业的了解

目录Author : ZwelL
零、前言

每天的疲劳让我的身体再 也不没办法承受

虚弱的身体.疲惫的心

我需要休憩

于是我回到家里.我放弃了赚那几百块钱.

我也得回家

家还是那么清爽..天空还是那么美

感受不到城市社会所带的肮脏空气

也没有那所谓的勾心斗角

网络虚拟.我结交了很多办法

但是也让我 失去了很多

我有很多次想离开网络

但是我好象除了在网络上的那点小本事

没有其他的了

所以我得呆在网络里继续的我的旅游

回家的感觉真好,我可以几天不跟网络打交道