谁给简单科普一下上面那些东西 - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Security - 系统安全

谁给简单科普一下上面那些东西

谁给简单科普一下上面那些东西# Security - 系统安全

y*z2007-06-13 07:06

1 楼

【以下文字转载自 sysop 讨论区】
发信人: yaz (柏林低温武警), 信区: sysop
标题: 谁给简单科普一下上面那些东西
发信站: BBS 未名空间站 (Wed Jun 13 01:41:05 2007), 站内
我是电脑盲

w*r2007-06-13 07:06

2 楼

都是些javascript的trick,有些代码搞得系统因为运行这些code而进入死循环,有的无
限弹出对话框,等等...
俺还没细看,现在得睡了.
俺先把转过来,等会儿贩子来了让他给详细讲一下.
反正这个网页编的比较毛糙,很多细节都没有考虑.
不过没钱的事谁肯干.
现在3k整天花天酒地,估计已经不会编程了.
小微在公司肯定不敢用这种态度干活.
大家就凑活着用吧.

【在 y*z 的大作中提到】

: 【以下文字转载自 sysop 讨论区】
: 发信人: yaz (柏林低温武警), 信区: sysop
: 标题: 谁给简单科普一下上面那些东西
: 发信站: BBS 未名空间站 (Wed Jun 13 01:41:05 2007), 站内
: 我是电脑盲

y*z2007-06-13 07:06

3 楼

赞

【在 w********r 的大作中提到】

: 都是些javascript的trick,有些代码搞得系统因为运行这些code而进入死循环,有的无
: 限弹出对话框,等等...
: 俺还没细看,现在得睡了.
: 俺先把转过来,等会儿贩子来了让他给详细讲一下.
: 反正这个网页编的比较毛糙,很多细节都没有考虑.
: 不过没钱的事谁肯干.
: 现在3k整天花天酒地,估计已经不会编程了.
: 小微在公司肯定不敢用这种态度干活.
: 大家就凑活着用吧.

w*r2007-06-13 07:06

4 楼

看了一下,bug在于小微没有在title里处理那些特殊符号(主要是""),这样带有这
些符号的字符窜就可能带有JavaScript代码的functionality了,然后大家就可以在里面
嵌入恶意代码.
其实只要用HTML里的Code and Entity把特殊符号转化成Code或Entity就可以使这些代
码只能纯粹用来显示而失去可执行的functionality了.

【在 y*z 的大作中提到】

: 赞