趁着现在论坛会员不多,就拿来玩吧。Discuz!  X1发布,不管三七二十一,马上升级。

升级后遇到不少问题,最大的就是会员都没法登陆了。查了许久,发觉是UCenter中的用户不对,不是以前的用户了。用PHPMYADMIN一查,发现是新建了个UC,于是把用户表改成原来的,现在终于能上去了。

Discuz!  X1有不少新鲜玩意,值得玩,呵呵

博客中添加插件-评论/留言邮件发送博主回复

测试一下。

呵呵,测试成功啦!

以后大家发表评论/留言的时候,留下真实的邮箱,我回复的时候,博客就可以自动发送邮件出去了。

测试邮件截图:

Tags: , , ,

现在很大部分中国网民仍在使用IE6。最近一直有人反应软件园中的软件下载不了,我找了很久,没有找到原因。但他们一个共同点就是使用迅雷右键下载不了

今天终于查到了原因。在IE6下对于"/"的转义“%2F”右键加载到迅雷时,竟然自动转换成了"/",这样跟我设置的URL规则不一致,导致判断出错,直接跳至了软件园的首页。于是加了一层替换,将"/"完全替换成字符|,然后在最终计数的ASP中将其还原为"/",问题总算解决了

Tags: , ,

修复了几个跨站漏洞

快乐无极 , 2009/11/23 20:48 , 网站建设 , 评论(0) , 阅读(17345) , Via 本站原创

今天修正了几个跨站漏洞。有几个页面接受恶意参数并运行之后,展示结果页面会被嵌入别的网站。

比如http://www.oyksoft.com/Viewimg.asp?p=/image/oyksoftQQ2009.jpg

我是直接把p接收,然后在<img src='' alt='XXX'/>接收p,但如果p是这个参数:

1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

那么中国移动的页面将被嵌入到浏览图片的页面来。现在修补了便无法显示了。

http://www.oyksoft.com/Viewimg.asp?p=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

很多网站都有这样的漏洞,非凡(原霏凡)也有,下面这个地址就把我的网站嵌入非凡吧

http://www.crsky.com/Viewimg.asp?p=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.oyksoft.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

同样对于谷歌自定义搜索页面也有此漏洞,已修补了。

http://www.oyksoft.com/GoogleSearch.php?cx=013661841400898088533%3Aqrniom_5igg&cof=FORID%3A9&ie=GB2312&q=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E#244

在IE8中输入上面这个地址时会提示“已修改页面,阻止跨站攻击”,显然IE8增强了安全性。

上面的链接都无害。但是如果嵌入的不是中国移动而是其他恶意网站,而且对方通过这个地址发送给你,我们知道QQ里会对恶意网址进行屏蔽,但如果前面的域名oyksoft.com没被阻止,恶意传播网站者将上述网址通过QQ发送给你,QQ并不会阻挡,而你点击过去,那么有可能就访问到恶意网站了。

另外在PHP里用一个函数htmlspecialchars便可解决上面的问题,将接收的参数继续转成HTML代码,使其执行不了,ASP就麻烦多了。。。

跨站漏洞很普遍,希望WEB开发人员要引起重视。也希望各位认识到这点,不要做坏事,而是积极抵御这些问题。

Tags: ,

几天前DZ便已发布正式版 V7.1,今天便将快乐无极论坛从V7.0升级至Discuz V7.1。

Discuz V7.1有四大更新

引用
四大全新功能旨在打造全新的互动社区

  • 提醒功能 让用户第一时间获得反馈。
  • 新版编辑器 让更多的新手用户发布自己想发布的内容。
  • 新手任务 让从没接触过论坛的用户快速上手。
  • 社区热点 自动提取社区热点使之得到更大程度的展示。

Tags: ,

Google自定义搜索引擎早已存在,但最近在微软Bing的所谓创新性搜索框的带领下,添加了一个体验不错的custom search element功能。采用Ajax架构。具体可到Google自定义搜索引擎:http://www.google.com/cse/?hl=zh-CN体验一下。

有详细的类参考说明文档:http://code.google.com/intl/zh-CN/apis/ajaxsearch/documentation/reference.html

虽然现在我还没用到这个custom search element,但用了另外一种形式——框架嵌套模式(以 iframe的形式嵌入),同时用PHP处理接收参数(本来想用JavaScript搞定,谁知JS对GB2312编码的中文参数竟然不认!)

测试页面:http://www.oyksoft.com/GoogleSearch.php

站内搜索结果页(使用本站程序):http://www.oyksoft.com/search.asp?action=s&keyword=%BF%EC%C0%D6%CE%DE%BC%AB&sType=ResName&Submit.x=0&Submit.y=0

站内搜索结果页(使用Google自定义搜索):http://www.oyksoft.com/GoogleSearch.php?cx=013661841400898088533%3Aqrniom_5igg&cof=FORID%3A9&ie=GB2312&q=%BF%EC%C0%D6%CE%DE%BC%AB&sa=%A1%F9%CA%B9%D3%C3Google%C7%BF%C1%A6%CB%D1%CB%F7%BF%EC%C0%D6%CE%DE%BC%AB%C8%ED%BC%FE%D4%B0%A1%F9#1059

Google搜索出来的结果比较强大,有很强的全文搜索功能。这是原下载系统的搜索功能所不具备的。搜索出来的结果很符合大众口味。我看到有些英文站点就把自己站上的搜索完全交给了Google,这样可以大大减轻自身程序的压力。

Google通过这种自定义搜索结果里嵌入广告来获取效益,企业付费用户则不显示广告,还有非营利性的教育机构等也可以申请不显示广告。

分页: 3/7 第一页 上页 1 2 3 4 5 6 7 下页 最后页 [ 显示模式: 摘要 | 列表 ]