[注意]测试

[这个贴子最后由damnyou在 2003/07/22 11:34am 第 12 次编辑] 比如有这么一个网页。 < *** >< *** language=" *** *** ">window.open("http://www.thysea.com/lb/non-cgi/usr/1/1_1244.htm", null, "resizable=no,top=60,left=60") 这只是我在网上随便找的一个恶意网页． 　如果这个网页是个木马．或者是ＷＥＢＳＨＥＬＬ，或者是能得到大家在论坛上的ＣＯＯＫＩＥ值．特别是有管理员权限的通过这个得到你的密码，或者是能格式化你硬盘的网页.... 　在现在网页木马横飞，恶意网页泛滥的时候．能引诱人浏览这么一个简单的网页就能让你 不经意间就中招！而且能做很多你想象不到的事． 　所以，我一定不要能让一些脚本随意的被执行！ 　我对ＣＧＩ和论坛的程序不太了解．如果大家暂时也没有什么好的办法的话，那就只有把 某些字符屏蔽或者关闭一些功能！ 　望大家加紧解决这个问题！

　　暂时不便公布．
　　等完工后再给大家说．

不要删除和移动，我们内部测试使用，cgi程序有个缺陷

有没有搞错？？？？？威望要9？？？？？？？自己还没有那？

[这个贴子最后由damnyou在 2003/07/22 11:33am 第 4 次编辑]

   OK了。
   终于搞定，我可以松口气了。
   大家看到，这个帖子，我在帖子中加入了一些网页的代码。本来这些帖子应该是作为字
符出现在大家浏览帖子的过程中的。而实际上，我们在浏览帖子的时候我加入的代码被论坛
CGI解释执行了。本来一个网页的执行并不可怕。但是我们浏览帖子的时候并没有想到会出
现这个网页，也就是说我们是被骗打开这个网页的。如果这个骗我们打开的网页是恶意的网
页，我们就中招了。现在恶意网页脚本到处有，网页木马也到处飞。我们也可以把这个问题
归结为——“跨站攻击”也许很多人看过“欲望之翼”和“LCX”
写的关于“跨站攻击”的文章吧，其中的危害性我就不再多说了。
   我对CGI和网站的建设并不在行，所以并没有修改论坛CGI或者其他地方，只把一些网页
代码用到的字符屏蔽了，比如“ s.c.r.i.p.t ”“H.T.M.L”  这样一来，我所发的第一
贴，上面的网页代码就不会执行了，而是在帖子中出现了，代码字符了。这才是论坛帖子本
来应该出现的。
   不过这不是最终的解决办法。最好还是希望调试论坛的管理员通过修改CGI来解决。
   希望各位管理人员注意，以后也许还会 出现问题，既然我们是搞安全的，自己的安全一
定要保障好啊。
   安全不是目的，而是一项长期艰苦的过程！

我知首了,我以前不小心打开了一个有恶意代
码的网页,给果我的系统被锁,我的鼠标被它控制
没办法按重起键重起,重起后系统提示硬盘就被format了.好惨!!