ESET相关问题

这个问题建议你去问官方人员

ESET NOD32 中文官方论坛地址:>

网络有很多都是不安全的，多多少少会才在些漏洞，看见论坛有人在测试脚本漏洞，我也想测试测试，没有想到的是成功了，所以写了这个文章给大家，让大

家在处理脚本的时候多留心着点。跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,d

点什么东东出来;重则窃取用户的COOKIES资料。更甚者将会G掉浏览者的硬盘一个站点被变成一个恶意网站,还有谁敢来如果再加上该站的站长比较"

盲"一些,岂不乱套了

首先应该让大家知道什么是跨站脚本（很多是copy的，当然有个人的理解，呵呵）

1、什么是跨站脚本(CSS/XSS)

我

们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被

解释执行，今天我就把带有能获取cookie信息的脚本嵌入了所发帖子的页面里，并且成功地绕过了论坛对特殊字符的限制，具体怎么做，大家等下可以看下面

的。而有时候跨站脚本被称为"XSS"，这是因为"CSS"一般被称为分层样式表，搞网站设计的都知道CSS，因为它的功能很强大。或许这很容易让人困

惑，但是如果你听某人提到CSS或者XSS安全漏洞，通常指得是跨站脚本。

2、XSS和脚本注射的区别？

但

是并非任何可利用脚本插入实现攻击的漏洞都被称为XSS，因为还有另一种攻击方式："Script

Injection",即脚本注入或者是讲脚本注射，他们之间是有区别的：他们的区别在以下两点：1）(Script

Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如:sql injection,XPath

injection这个很常见，好象前几个月很多安全网站被黑就是因为脚本里存在注入漏洞，而被一些人利用的。2）跨站脚本是临时的，执行后就消失

了。这个就不同于我们现在讨论的XSS/CSS

了，今天讲的是在页面中插入脚本，这样谁来访问谁的浏览器就执行，如果不被删掉或者是修改编辑的话，就一直存在的。

那么什么类型的脚本可以被插入远程页面？

主流脚本包括以下几种：HTMLJavaScript (这个是我今天测试的VBScriptActiveXFlash

好

了，进入正题，具体如何检查这个漏洞，大家可以看绿盟Sn0wing翻译的文章《跨站脚本说明》。

3、基本理论首先,讲一下最简单的脚本攻击:<td ></td >（TD

TR在网页中是代表框架的）等HTML字符的过滤问题。先找了个CGI的论坛，以原来ASP的眼光看CGI的站点,我们先注册用户，在用户一栏中填

写<td

>,提交用户注册后发现并没提出非法字符的提示，惨了，看来是有BUG了。注册完成后,点击资料也发现页面变形了如在其他几个如国家,性别里填写

也会出现同样的问题,那页面就没法看了。于是换了一个站点，再次提交<td

>出现了非法字符提示（比如小榕的）,看来站点是已经过滤的<>等HTML的脚本字符,那好，我们改用ASCII

码替换<> 如& #60; &

#62;代替提交后再来看，又出现了上面页面变形的情况（小榕的当然没有了），看来非法过滤机制还不是很完善。

4、简单的脚本攻击如<td

>等HTML格式的代码一定要过滤好，那我们下面就开始重点讲一下UBB过滤漏洞的问题。因为UBB在现在很多的论坛和免费留言本里都有使用的，

所以需要重点讲下。因为我自己原来的留言本也是这样的，被测试过发现也有这样的漏洞，现在就换了个安全点的。

5、UBB是论坛中用来替换HTML编辑的一种格式符号,如[ b][ /b]可以替换成HTML中的< b>< /

b>，然而就是这一个替换问题,就成了跨站脚本攻击的最佳选择对象。先讲些我们常用的标签，比如img标签，[

img]的过滤，确实很麻烦而且是个老大难问题，关于这个标签的脚本攻击很流行，网上也有很多文章。但是很多站点还是存在这个漏洞，有些根本没有进行过

滤，特别是一些免费留言板的提供站点。下面我们主要讲一下高级问题： 由于[

img]的初级问题骚扰，很多站点就对一个敏感的字符开始过滤。比如字段ja，字段doc，已经字段wr等，或者是对字符进行过滤。比如

java，document等等。这样一来，似乎这样的攻击少了很多，使跨站攻击变的神秘并且深奥了，但是我们仍然可以利用ASCII码来代替。

已发送，你自己试一下，看那些有用，不过就算没高速通道，他也是会员的，也会加点速的。我建议你去一个论坛，那里面有迅雷VIP帐号共享的，你进去以后，下载一个迅雷vip帐号获取器，。经360检测无毒的。点击获取帐号会有很多帐号的。我先给你发一批。这个论坛叫“若人论坛”

不过你千万不能改密码啊，不过你改密也没用，别人论坛的人能共享的都是高手，搞的不好，惹火了他，黑你的电脑。

以上就是关于ESET相关问题全部的内容，包括:ESET相关问题、兄弟，能用用你的迅雷号不下东西= =、谢谢你了。、网站，论坛账户密码如何破解等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！