山西新闻网的跨站漏洞

跨站漏洞其实就是利用JavaScript脚本的一种攻击,原理很简单,看如下代码:

有点做网站的基础的话,都知道这是一个很简单的JavaScript,一般用在网页中的信息提示,然后再转向其它页面的效果,就是这么一段简单的代码,就有着非常惊人的杀伤力。有些人可以用跨站攻击来出售流量,或者“抓鸡”等等危害性很强的攻击。

这种漏洞一般出现在留言中,由于在入库之前没有对客户端提交的数据进行合法性判断,致使漏洞有机可乘,当其他人访问了显示这条留言的页面时,又由于没有对HTML脚本进行过滤,致使直接执行了JavaScript脚本,直接转向了带有病毒或者木马的页面,从而感染病毒。这种攻击对于流量大的网站是非法可怕的。

所以如果有留言之类的客户端不需任何验证即向数据库添加内容的功能,在入库前要对客户端的数据进行严格的判断。我的方法是直接禁用HTML标签,即带有“<>”的全部替换为空,再使用UBB来实现简单的文字效果。当然,我在显示留言的时候又做了一次判断,以保证数据的绝对安全。

山西新闻网跨站漏洞利用

山西新闻网跨站漏洞利用
图为山西新闻网的跨站漏洞利用

12321存在的危险(漏洞)

今天中午手机刚开机,就收到两条诈骗短信,内容分别是:

尊敬的用户:您在情缘点歌台有一首歌及朋友留言未收取,请及时拨打101764182收听.本条免费.客服010-60535769.B
发信人:13165954628


汇到这个账号 邮政储蓄60602003 9200202020户名:蒋敬生 那个号停了 汇完给这个手机发个短信就行
发信人:15518669057

我还从来没有收到过这种诈骗短信,只是以前在博友的文章中看到提及过。隐约记着有个地方可以举报这些诈骗短信,所以吃过午饭后便在Google中查找举报方式——“12321网络不良与垃圾信息举报受理中心”,可以使用短信的方式直接转发诈骗短信至“12321”即可,格式:“发信人*短信内容”。

网站还提供“举报短信查询”服务,输入你的手机号,通过短信内容将验证码发送到你的手机上,然后再进行“举报短信查询”,很方便、很安全的一个功能。自己最近在做一个WAP的项目,想了解一些关于无线通信的东西,所以便看了看12321的这个给手机发送验证码的功能,结果就被我发现这个低级而且杀伤力大的“漏洞”了。

可以通过一个URL给任意手机发送任意内容的短信,只要12321不去查,甚至可以做成“短信群发系统”,最可怕的是发信人是“12321”。很容易被一些人用来搞一些非法活动,例如中奖信息、罚款通知等等诈骗短信。

这个“漏洞”我已经通过E-mail的方式给予了反馈,大家也不要再试图进行非法利用,很有可能因此你被12321叮住?!酷

山寨“开心网” 千橡理直气壮

昨天从“新浪科技频道”得知,沉默已久的“开心网(kaixin001.com)”已正式向法院提起诉讼,状告被业界戏称“山寨版开心网(kaixin.com)”持有方“千橡互动”不正当竞争,要求其立即停止使用近似网站名称,并公开赔礼道歉。

千橡对此发表了回应声明对此次诉讼表示遗憾,并保留追究相应方法律责任的权利。

“开心网(kaixin001.com)”由“北京开心人信息技术有限公司”于2008年3月份创办,并以其独特的营销和产品成为互联网行业中的一匹黑马,迅速成为人民最受关注的社交网站。

千橡给我的印象,其就是搞收购的一家公司,旗下“Donews”、“猫扑”、“校内”均以收购方式获得。有知情人透露,08年9月千橡曾向开心网提出巨资收购要求未果,于10月购得“kaixin.com”域名,并开通同样名为“开心网”的网站,当时“山寨”这个词又一次被迅速升华。

可怜的“开心网(kaixin001.com)”还在内测期间,就被千橡以相同的网站名称、相同的服务对象、相同的服务内容,甚至页面风格都那么相近的“山寨版开心网(kaixin.com)”给打了个措手不及。

千橡有猫扑、校内、DoNews的人气,还有其域名感觉要比kaixin001.com更直观,再加上其为山寨做的广告,足以以假乱真。人们是不是会认为“kaixin001.com”山寨的“kaixin.com”?!“不在沉默中爆发,就在沉默中灭亡”,一直保持沉默的开心网意识到了危机的存在,终于爆发了,一纸诉状将千橡告上法庭。

千橡倒是理直气壮,一点都没有感觉自己抄袭别人的意思。是个明眼人都能看出来,“开心网(kaixin001.com)”建成早于“山寨版开心网(kaixin.com)”,只有可能后来者抄袭前者,不可能前者抄袭后者;再退一步,我们看页面风格以及布局,和kaixin001.com几乎一样。本身互联网抄袭现象并不少见,但是千橡在互联网上有着决对的优势,山寨开心网凭借自己优势与开心网竞争,怎么能说是公平?

SEO优化:规范网站中的URL

SEO的目的无疑是让搜索引擎“喜欢”上你的网站,这样自然就达到了最终的目的——提高网站的访问量。那要想制作一个让搜索引擎“喜欢”的网站,就要去迎合搜索引擎的习惯,尽管搜索引擎的一些不符合正常逻辑的规则,你也要必须遵守。

今天我要谈的就是搜索引擎的一个不符合正常逻辑但又不得不遵守的规则——URL的大小写混写。可能有的朋友就要问了,URL的大小混写是什么意思?

上面的HTML代码中的URL,其中便运用了大小写混写的方式。虽然大小写好像对静态网页或者大多数动态网页没有什么影响,但是对搜索引擎确有着很大的关系,所以网站程序员在开发程序时,最好不要使用URL大小写混写的方式。

URL大小写混写对SEO到底有着怎样的影响?我博客的URL采用的便是大小写混写的方式,虽然无论是大写还是小写,客户端显示的结果都一样,但是对于搜索引擎来说,如果URL有大小写的区别,搜索引擎会将其视为两个不同的URL地址,这将会搜索引擎对网页权值分配的流失。也就是说,如果别人转载了你的一篇文章,并在其文章中加上了你的链接,很有可能URL已经被程序或者人为改为了小写方式。如果搜索引擎在索引的时候,便会索引小写方式的URL,这样便使得搜索引擎认为你的网站中有重复的内容、重复的标题标记、重复的元说明等内容抓取错误,不仅影响页面的PR值,还会影响网站的整体质量。

URL大小写不同也直接影响着PR值的不同,所以在建网站的时候就应该重视这个问题,所有URL都使用小写方式,以免以后产生不必要的麻烦。

我的博客采用的是基于ASBLOG2.1为核心,然后经过自己扩展的程序,当时没出于网站整体质量考虑,没有修改。但上个星期在对网站进行重构时,我决定把大小写混写的URL全部改为了小写方式,之后便发现在“Google 网站管理员工具”的“内容分析”中发现了很多“重复的标题标记”错误。在网站管理员帮助论坛中试图寻求更好的解决办法,可直到现在也无人回复,所以只能等到搜索引擎对网站的重新索引了。

戒烟心得

还是那句话“戒烟其实很容易,意志坚定很重要”,只要你下定死的决定心来戒烟,肯定可以马上把烟戒掉。古人云:“世上无难事,只怕有心人”,只要下定决心并且为之不懈努力,再难的事情也能办得到。

说实话,这次戒烟完全是为了可以节省生活中的开销,本来就拿着一点点微薄的工资,再加上我现在身上的担子很重,所以戒烟也是无奈之举,尽管可以省出来的钱微乎其微。以前公司的经理时常说“省下的就是赚下的”,尽管我到现在也不同意这种说法,但为了攒钱不得不戒烟了。

因为这次戒烟的目的是出于省钱,所以并没有完全不抽烟,只是不会花钱去买,当然也不会问别人要。不怕众人笑话,晚上回到宿舍,我便拿父亲曾经种下的烟叶来抽。这些烟叶是我上个月回来时带过来的,当初没想要戒烟,就是想着在没钱的时候拿这些烟叶来解解烟瘾。

从小学的时候就开始抽烟,除了上次戒烟之外一直没有断过,没想到这次戒烟会如此顺利,决定戒烟后就再没有买烟抽过,倒是晚上回来的时候便拿烟叶卷一支来解解烟瘾,其实不抽也罢,只不过由于戒烟的目的,并没打算立马戒掉,以后烟叶抽完后也不打算继续买烟,然后从此以后便不再沾这东西了。

现在想来可笑,烟钱是省出来了,其他地方便又花销出去。其实也省不了多少,主要想借着这次戒烟来考验一下自己的自控力和意志是否坚定。

如果想戒烟的朋友,下定决定肯定可以戒掉,我的烟龄也不算短了,也便说戒就戒,主要是看自己有没有真正下定决定并且为之不懈努力。