标签： 跨站脚本漏洞

这种利用类型的攻击早在06年就被安全研究人员指出，不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集，所以影响还是比较大，希望各大站快速修复。

双因素认证并非神话：因拖库泄露密码等事件的影响，网络游戏、网银或后台登陆均开始采用U盾、数字令牌等。 乌云上有起直打软肋的案例，说到底：登陆的安全级别高了，但之后的认证信息依然脆弱容易泄露，黑客换了个角度就又是一轮血雨腥风。 可以看到，“遇见”管理后台采用了UKEY方式，一般而言，没有UKEY是无法登录的。 然而……屌丝黑客还是进来了……为了白富美！ 信息足够详细……活动区域赫然在目！ 当然，有些...

QQ有朋友发给我一个地址http://t.people.com.cn，是人民网的微博频道，貌似今天刚开业？结果打开后发现…… 再刷新一下： 看下下面的内容： 跨站……人民网微博频道很郁闷？抓图时间：2009年12月22日15:15，截止到15:25，已经不再弹出窗口，人民网行动够快…… 相关：抗议MSN数码IT频道转载本博文章并抹去水印的行为

　　前几天游侠（https://www.youxia.org）曾经在博客提到，说外交部的网站有跨站脚本漏洞（原文链接：[中国人民共和国外交部网站的一个跨站漏洞]，然后从外交部网站找到管理员的邮箱发了一封邮件，今天得到了回复。

　　信中说此XSS/CSS问题已经修复，上去看看，依然提交以前的测试语句：

　　可以看到，的确已经修复了。外交部网站管理员的效率还是比较高的。
　　我说：得到了外交部网站工作人员的表扬；哥们说：得强调下，是书面表扬 🙂
　　对外交部网站工作人员的态度表示赞赏，要知道：以前经常发现网站有漏洞，写个木马过去，然后给管理员发邮件说网站存在漏洞，是否需要帮助？人家都不鸟你……除非哪天网站彻底挂掉……