发布日期：2010-06.22 
发布作者：pz （80vul.com）
影响版本：百度空间 
官方地址： hi.baidu.com
漏洞描述：

一 综述
百度模块分享平台(http://act.hi.baidu.com/widget)是百度于2008年8月发布的，借此平台，用户可以方便地升级扩展空间的功能，用户之间还可以将自己制作的模块与别人共享,
经过测试发现模块“我的豆瓣收藏秀”即：http://act.hi.baidu.com/widget/info/10624存在xss漏洞，当攻击者应用该模块，可导致在hi.baidu插入恶意的js/html代码。

...

夏天真不爽呀，一到中午就犯迷糊，没办法，做男的人就是要挺住，不能让自己倒下。只能去找个漂亮练练手，也好让头脑清醒一下，随便一找就找到个漂亮的房地产站，而且有点西湖风景的味道，一下子来了兴致，马上开搞。

一、先看看网页的一个页面吧

...

没钱推广网站?这是一个很严峻的问题，也是一个很现实的问题。于是涉及到另外一个问题：没钱就不能推广自己的网站吗?答案是否定的。没钱照样可以将一个网站很好的推广出去，这也是零才今天想谈的话题，一是告诉没钱的站长不要放弃推广，二是提醒有钱的站长节约资金的成本，将钱花在刀刃上!　　今天只谈免费网站推广的第一步：网站包装。其实很多站长都很了解，在这只是做一个总结，留作对比与参考。　　首先，什么是网站包装?包

3389记录密码ASP收信+显IP------------使用说明---------------记录3389密码ASP发信版+显IP  华夏首发!  ASP文件咻咻友情修改!先把3389.asp传进自己的空间然后打开主程序.exe 把自己ASP的路径写进去（比如:http://www.cqzh.cn/3389.asp）然后点-生成-生成一个CreateServer.exe然后把

php的站webshell权限也不小，先看了看用户 于是加了个用户进去 net user asm$ asm /add 提示成功， 然后像平常一样提升为管理员net localgroup administrators asm$ /add, 却发现没有显示成功，添加的用户仍然在USER组。当时就感觉很可能是管理员组改名了，可是运行net localgroup

　　据国外媒体报道，针对近日“IE9将放弃Flash”的报道，微软日前给予澄清，称该报道是误解。

　　微软IE项目总经理迪恩·哈查莫奇(Dean Hachamovitch)上周在博客中称，下一代Web浏览器IE9将支持H.264视频格式。随后，许多媒体报道，IE9将不再支持Flash技术。

...

大家可能会说，上传漏洞有什么好玩的，但是有时真能遇上好玩的!一上传漏洞,.NET aspx程序,同时支持asp,可以伪造文件头上传任意脚本文件，你上传上去执行可总是出错，要么是没有闭合，要么就是执行错误，不管你自己闭合，都不行经过我了解..net文件上传过滤组件,过滤文件头，过滤文件尾了解原理就好办了1.txt存放你的一句话马2.jpg 为一小图片文件，一定要小，比如qq表情图片3:copy /b

Windows 下不能够以下面这些字样来命名文件/文件夹，包括：“aux”，“com1”“com2”“prn”“con”和“nul”等，但是通过cmd下是可以创建此类文件夹的，使用copy命令即可实现：D:\wwwroot>copy rootkit.

发布日期：2010-04-23
影响版本：ASPX版本
漏洞描述：eWebEditorNet 主要是一个upload.aspx文件存在上传漏洞。

有些时候我们由于某些情况下，总是需要揪出潜水者，或者在某些情况下真的非常想知道对方究竟在不在线，比如说：QQ上发信息给女朋友吧，QQ上她是出于不在线状态的，但是她是否真的不在线呢？这有些时候的确会让人很想知道个究竟，曾经有彩虹QQ，可是彩虹杯具了。现在都没有发现什么好的软件可以帮助我们揪出潜水者了。但是罢了吧，何须其它什么软件工具了，不必啦，现在我告诉大家一种方法，既不用什么软件工具，又不会很繁琐。我们只借用QQ本身的一个功能就可以了。

　　很简单，想必大家的邮箱都开通了吧，那现在第一步，打开邮箱，看到下图底部圈粗红线部分，点击 登录邮箱。
...