文章作者：虫虫
信息来源：邪恶八进制信息安全团队 (forum.eviloctal.com)

这个小程序是我在做一次XSS练习时写的.

当时遇到的那个XSS条件比较苛刻,在此不说了.

XSS有很多方法,拿来挂马很方便.但是一般我们希望更深入一点的利用,例如利用XSS加自己为管理员.
有的时候XSS的条件要求比较苛刻,例如XSS字符限制(过滤),IP限制,COOKIE什么的限制,甚至还会有验证码的.

我写的这个例子没有那么高的要求. 放在 http://lmao.tr4c3.com/  感谢tr提供的２级玉米．

===================
一时兴起做了这个小小的程序,用来测试XSS,呵呵.
这次的任务,就是要将application("winner")修改成一个长度大于100Byte的String.
而普通用户你,可以控制的利用做XSS的字串只有100长度哦~~
当然,只有想办法了哦~~
一共有4个文件,分别是: login.asp ,set.asp,show.asp,以及不需要验证的user.asp.路径在xss\

admin从login.asp登陆后,会跳转到show.asp,这个文件用来显示application("winner"),
不过呢,我在这个页里设置了一个可以Xss的机会,Xss的字符串可以在user.asp里任意修改,呵呵.
set.asp是用来修改application("winner")的,貌似只有这一个接口可以设置application("winner")哦.
当然,set.asp,show.asp都会进行admin身份验证哦.验证方式很简单,只要cookie(user)=admin就可以了~当然还有ip检测,hoho~~

时间不早先不写描述了.测试用的程序可以从这里下载到.里面有比较详细的注释.
Have a joy~~

You may start here.
====================

程序要求很简单，高手们就不用去试了，反倒觉得没意思了．刚接触xss，找新鲜感的可以去试试．
另外程序写的不是很好，多人测试的话可能会冲突．最好是一个一个来．
恳求不要随便往上面挂马．都是来玩的，不要太不道德．

如果你能ＸＳＳ成功了（其实很简单的），希望能把方法说一下哦～～
另外，如果大家喜欢这样的＂游戏＂的话，欢迎找我交流，呵呵．如果想一起制作另一个此类游戏的话更好，呵呵．
当然，最主要的是想听听大家的意见～～

我常用的ID就是虫虫啦,呵呵,他们在群里叫我 lang(4)猫 ..就是流浪猫的后两个字 = =|||
blog: http://hi.baidu.com/anuiz,mail: anuiz_at_163.com 希望能和大家多多交流~

虫虫你好，我是刚近来的，啥也不懂，XSS是啥能不能给我几篇教学文章看看，另外如果可以并且愿意指点我下的话，请加我QQ371499523

XSS-->Cross-Site Script

XSS经常看到，但我也不太明白到底是什么

引用:

引用第2楼nafish于2007-02-24 18:33发表的 :
XSS-->Cross-Site Script

为什么是XSS而不是CSS呢？ 不是用首字母的缩写吗？？？？


偶不明白。。。。。

引用:

引用第4楼nixilin于2007-03-21 00:49发表的 :


为什么是XSS而不是CSS呢？ 不是用首字母的缩写吗？？？？


.......

XSS就是常说的跨站攻击.本来的英文缩写应该是CSS,但是为了与样式表(也是css)区别,特写为XSS

网上搜到的

引用:

引用第5楼asm于2007-03-21 05:00发表的 :


XSS就是常说的跨站攻击.本来的英文缩写应该是CSS,但是为了与样式表(也是css)区别,特写为XSS

网上搜到的

比较老实,敢承认在网上搜东西的人已经不多了,顺便提下,我的站目前也可以被XSS.呵呵.懒的补了.

现在流行这个,哈哈,我也在学习