This is a XSS test
Code by est, electronicstar@126.com

EDIT: Code removed by Roy.

Last edited by Roy on 2007-2-11 at 11:17 PM ]

哎，论坛的提示符界面给各位有心人提供了方便之路，阿门，善哉善哉


我建议Wengier还是不要开放新建/编辑帖子功能，其实Web编程不只是读取数据库～～～

Last edited by electronixtar on 2007-2-12 at 06:17 AM ]

跳出几个错误窗口，est是你在做什么吗？

　　看来得高度关注一下安全性呀。

哪个 _discuz_pw 就是你的密码 MD5 后的值，我加几条语句你的密码就到我手里了，嘎嘎

Originally posted by electronixtar at 2007-2-11 19:00:
哪个 _discuz_pw 就是你的密码 MD5 后的值，我加几条语句你的密码就到我手里了，嘎嘎

　　est 是个危险分子，建议删此ID封此IP肉体消灭此boy。

　　Roy动作够快，est 从此躲过一劫，只可惜站长没来得及测试，呵呵。

Web编程当然不只是读取数据库了（可没有那么简单哦）。比如说论坛的DOS命令提示符中读取数据库相关代码部分只占总程序的10%左右而已，余下部分都是其它代码。

DOS命令提示符界面中其实已有许多判断特殊情况的代码，比如防止许多形式的JS injection、SQL injection等，以避免这类攻击。我试过网上的一些CSS（Cross-site scripting，又称XSS）演示代码，说是嵌入后可以执行JS代码，而我在命令提示符界面中发帖测试发现都没有效果（因为已被屏蔽了）。但是由于CSS（或XSS）形式的多样性，当然不可能已经完全无懈可击了。只有发现问题后才可能进行解决，就好比当时qzwqzw等人发现并报告问题后不久就被解决那样。如果发现有这样的问题建议将代码通过短信等方式发送，以避免有人利用，同时也可以迅速得到相应的防范或解决。

EDIT: 后根据Roy提供的原帖删除之前的代码测试，发现问题其实并不会在命令行界面下出现，只会在论坛GUI界面下出现，因为GUI界面将命令行界面的标题未经处理后直接调用了，使得GUI界面下可以运行一些脚本（而命令行界面下则被自动屏蔽了所以不会运行）。可见命令行界面的安全性其实更高，只是两者之前的标题处理方法原先有些许不兼容而造成隐患。现已将兼容性问题修正。

CSS Test

这下有安全感了，嘎嘎～～

Wengier和Roy的确厉害


P.S. 我也想弄一个“我的Foobar正在播放的歌曲”，不知道Roy可否透露一下这方面的信息？基本原理是什么呢？

Originally posted by electronixtar at 2007-2-17 18:32:
Wengier和Roy的确厉害


P.S. 我也想弄一个“我的Foobar正在播放的歌曲”，不知道Roy可否透露一下这方面的信息？基本原理是什么呢？

用AMIP自己架一個
http://amip.tools-for.net/wiki/

或是用ViralSound.com的服務吧
http://www.viralsound.com/

thank you