刚才一直在写报告，因为明天要提交给用户了，刚结束过来刷新下blog ，我的天啊，一哥们也太能了点，一下子提交了这么多评论啊，一看评论内容，都是跨站的，最后还来个挂马的。。真是够狠的啊。。
我想说的是，Bo-blog 程序还是比较安全的，该过滤的都过滤掉了，就甭跨了。。可能这哥们是出于好意，安全检测的，我也就不说什么了。。希望发现了漏洞的话，要记得提醒我哦。。提交的评论已经删除了。。

作者：ninty
公司让到网上去找一些现成的代码。以后做网站的时候 有的话好直接抄。这一找可就吐了血了。。我只会找注入和跨站的漏洞。哪位牛人告诉我 还有什么比较常见的漏洞？

作者:ninty
很糟糕的一套程序，我ASP不太熟悉，哪里写错了还请各位大牛指点！
注入：
共发现3个可注入的地方：

作者:茄子宝
来源:IT168
最近跨站脚本漏洞好像比较火，国内的一些比较出名的WEB程序都陆续暴出了跨站脚本漏洞，但是一提到跨站脚本漏洞的攻击方式大家都哑火了，因为在常规的概念中这种漏洞最多是挂网页木马，获取COOKIE之类，属于典型的鸡肋漏洞！

来源:51CTO
网络上曾经有过关于跨站脚本攻击与防御的文章，但是随着攻击技术的进步，以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了，而且由于这种对于跨站脚本认识上的混乱，导致现在很多的程序包括现在的动网都存在着跨站脚本过滤不严的问题，希望本文能给写程序的与研究程序的带来一点思路。

来自:51CTO
一、什么是XSS攻击

XSS又叫CSS  (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害

来自:百度空间
总体介绍
简单介绍什么是XSS攻击
如何寻找XSS漏洞
对于XSS攻击的总体思路

Mozilla Firefox是一款流行的开源Web浏览器.jar:协议用于从ZIP压缩文件中解压内容,基于Mozilla的浏览器支持jar:[url]![/path/to/file.ext]形式的jar: URI.
Firefox中的jar:协议处理器没有正确地验证文档的MIME类型内容,如果攻击者能够向站点上传某些.zip、.png、.doc、.odt、.txt等文件的话,则用户访问了恶意站点就会导致跨站脚本攻击.

来源：hackbase
第一部分：跨站Script攻击

        每当我们想到黑客的时候，黑客往往是这样一幅画像：一个孤独的人，悄悄进入别人的服务器中，进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页，甚者会窃取客户的信用卡号和密码。另外，黑客还会攻击访问我们网站的客户。

文章作者：茄子宝
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注：文章首发http://s0n9.blog.sohu.com/，后由原创作者友情提交到邪恶八进制信息安全团队。

1.首先这是个Apache的老漏洞，Apache在接收Expect这个HTTP报头会直接输出报头的错误信息，错误信息的内容并没有被转义。

脚本攻击是最近网络上最疯狂的攻击方法了，很多服务器配置了先进的硬件防火墙、多层次的安全体系，可惜最后对８０端口的ＳＱＬ注入和跨站脚本攻击还是没有办法抵御，只能看着数据被恶意入侵者改的面目全非而毫无办法——把你的Snort武装起来吧，用它来检测这样的攻击！

文章作者：恶魔傻蛋
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

作为最大的大学生社区网站,校内网对于在校的学生一定耳熟能详吧~