Nov 23

修复了几个跨站漏洞

快乐无极 , 20:48 , 网站建设 , 评论(0) , 阅读(3189) , Via 本站原创

今天修正了几个跨站漏洞。有几个页面接受恶意参数并运行之后,展示结果页面会被嵌入别的网站。

比如http://www.oyksoft.com/Viewimg.asp?p=/image/oyksoftQQ2009.jpg

我是直接把p接收,然后在<img src='' alt='XXX'/>接收p,但如果p是这个参数:

1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

那么中国移动的页面将被嵌入到浏览图片的页面来。现在修补了便无法显示了。

http://www.oyksoft.com/Viewimg.asp?p=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

很多网站都有这样的漏洞,非凡(原霏凡)也有,下面这个地址就把我的网站嵌入非凡吧

http://www.crsky.com/Viewimg.asp?p=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.oyksoft.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

同样对于谷歌自定义搜索页面也有此漏洞,已修补了。

http://www.oyksoft.com/GoogleSearch.php?cx=013661841400898088533%3Aqrniom_5igg&cof=FORID%3A9&ie=GB2312&q=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E#244

在IE8中输入上面这个地址时会提示“已修改页面,阻止跨站攻击”,显然IE8增强了安全性。

上面的链接都无害。但是如果嵌入的不是中国移动而是其他恶意网站,而且对方通过这个地址发送给你,我们知道QQ里会对恶意网址进行屏蔽,但如果前面的域名oyksoft.com没被阻止,恶意传播网站者将上述网址通过QQ发送给你,QQ并不会阻挡,而你点击过去,那么有可能就访问到恶意网站了。

另外在PHP里用一个函数htmlspecialchars便可解决上面的问题,将接收的参数继续转成HTML代码,使其执行不了,ASP就麻烦多了。。。

跨站漏洞很普遍,希望WEB开发人员要引起重视。也希望各位认识到这点,不要做坏事,而是积极抵御这些问题。

Tags: ,
Oct 20

快乐无极论坛升级至Discuz V7.1

快乐无极 , 22:52 , 网站建设 , 评论(0) , 阅读(3571) , Via 本站原创

几天前DZ便已发布正式版 V7.1,今天便将快乐无极论坛从V7.0升级至Discuz V7.1。

Discuz V7.1有四大更新

引用
四大全新功能旨在打造全新的互动社区

  • 提醒功能 让用户第一时间获得反馈。
  • 新版编辑器 让更多的新手用户发布自己想发布的内容。
  • 新手任务 让从没接触过论坛的用户快速上手。
  • 社区热点 自动提取社区热点使之得到更大程度的展示。

Tags: ,
Oct 17

在软件园中添加了Google自定义搜索引擎

快乐无极 , 20:53 , 网站建设 , 评论(0) , 阅读(3673) , Via 本站原创

Google自定义搜索引擎早已存在,但最近在微软Bing的所谓创新性搜索框的带领下,添加了一个体验不错的custom search element功能。采用Ajax架构。具体可到Google自定义搜索引擎:http://www.google.com/cse/?hl=zh-CN体验一下。

有详细的类参考说明文档:http://code.google.com/intl/zh-CN/apis/ajaxsearch/documentation/reference.html

虽然现在我还没用到这个custom search element,但用了另外一种形式——框架嵌套模式(以 iframe的形式嵌入),同时用PHP处理接收参数(本来想用JavaScript搞定,谁知JS对GB2312编码的中文参数竟然不认!)

测试页面:http://www.oyksoft.com/GoogleSearch.php

站内搜索结果页(使用本站程序):http://www.oyksoft.com/search.asp?action=s&keyword=%BF%EC%C0%D6%CE%DE%BC%AB&sType=ResName&Submit.x=0&Submit.y=0

站内搜索结果页(使用Google自定义搜索):http://www.oyksoft.com/GoogleSearch.php?cx=013661841400898088533%3Aqrniom_5igg&cof=FORID%3A9&ie=GB2312&q=%BF%EC%C0%D6%CE%DE%BC%AB&sa=%A1%F9%CA%B9%D3%C3Google%C7%BF%C1%A6%CB%D1%CB%F7%BF%EC%C0%D6%CE%DE%BC%AB%C8%ED%BC%FE%D4%B0%A1%F9#1059

Google搜索出来的结果比较强大,有很强的全文搜索功能。这是原下载系统的搜索功能所不具备的。搜索出来的结果很符合大众口味。我看到有些英文站点就把自己站上的搜索完全交给了Google,这样可以大大减轻自身程序的压力。

Google通过这种自定义搜索结果里嵌入广告来获取效益,企业付费用户则不显示广告,还有非营利性的教育机构等也可以申请不显示广告。

Tags: , ,
Sep 30

纯JS实现的图片幻灯片

快乐无极 , 17:29 , 网站建设 , 评论(1) , 阅读(4043) , Via 本站原创

现在有不少的纯JS幻灯片框架,今天没事便研究了其中一个我认为效果不错的。名叫Viewer。

官方网站是:http://www.efectorelativo.net/laboratory/viewer/

这个“框架”,基于另外一个“框架”mootools 1.2.x,一个开源的基于面向对象的手法开发的一个通用组件。它可以轻松地实现页面元素的滑动效果。Viewer利用mootools实现对图片幻灯展示。它让图片切换时具有五种特效:从上、下、左、右切换,以及渐变切换。

具体演示可以看看软件园首页:http://www.oyksoft.com/

我已用这个修改了一下,替换原来的Flash幻灯。替换掉有什么好处?
一是在客户端不必再安装Flash了,二是Flash实现对搜索引擎并不友好的,这种实现对SEO有点帮助。

Tags: , ,
Sep 27

求人不如求己

快乐无极 , 21:54 , 网站建设 , 评论(6) , 阅读(4104) , Via 本站原创

汉化新世纪自打我的管教之后,几年以来,收敛了不少。把那个垃圾狐狸少爷清理出门之后,总算清静了多少。

汉化新世纪的枪手之多,爪牙之多,杂碎之多,垃圾之众,几年之前曾经达到顶峰,然后至今日起,伦落到让人不齿的地步。

我曾经忠告很多人,求人不如求己。原则上是这样,如果不是这种原则,也许我的DIY作品现在仍然寄于篱下,打着流氓新世纪或者绿套联盟的旗子,摆在那个肮脏的地方——N年不见人清理的残坑。乾是没钱了,还是赚不了钱了?一张老脸竟然啰里八嗦撕破脸皮地和我叫嚷,结果呢?一脸白痴相。巴望着众人尊称自己为乾大师、曾半仙,倚老卖老的那帮老家伙,可能都死光了,最近连个屁都不敢放一个。不说也罢了,要不是还有着那么一点人脉,还有别人赞助的那几台服务器,流氓新世纪早已被冰封了。很多人不明白这段历史,麻烦你看看我的博文(http://it.oyksoft.com/post/405/),我今天忽然觉得自己当年真的太白痴了,骂得那么文邹邹的。我本不是文人,何必对一帮恶棍说得那般文雅?对付恶棒,就是以更恶的一棒还击它们!打狗棒法中的“天下无狗”便是如此了。

Tags: , , , , , ,
Aug 27

快乐无极软件园宽屏改版完成

快乐无极 , 19:27 , 网站建设 , 评论(3) , 阅读(4228) , Via 本站原创
经过一白天+一晚上的努力,终于算是做了个宽屏版的“快乐无极软件园”。
Tags: , , ,
分页: 1/5 第一页 1 2 3 4 5 下页 最后页 [ 显示模式: 摘要 | 列表 ]