“挖”出论坛帖子中暗藏的陷阱
论坛往往是一个网站中人气最旺的地方,但很少有人注意到论坛给浏览者带来的安全问题,而像小李这样的遭遇却是真实存在的!下面我们就为大家“挖”出论坛帖子中暗藏的害人陷阱。
浏览帖子有隐忧
现在很多论坛程序在开发时,会添加一些扩展功能,例如:可以在帖子中引用UBB标签,可以在帖子中隐藏网页真实地址,可以在个人签名中加入特殊效果等。
这些功能虽然方便了浏览者,但同时也带来很多安全隐患。恶意攻击者可能借助这些功能,使用网页木马等攻击浏览者的系统。我们在这里模拟攻击者,为大家揭露这些攻击手法。
制造“陷阱”
选择任一功能稍微强大的论坛(例如动网,它在国内非常流行,而且所带的扩展功能非常多)下手。
先利用网页木马生成器制作木马网页,它利用的是IE浏览器漏洞。打开网页木马生成器,单击 “选择”按钮,然后选择木马程序mm.exe,生成2个文件:mm.chm和mm.html1)。将这两个文件以及木马程序mm.exe上传到网站空间中,就可以得到一个木马网页,地址以mm.html结尾,例如:http://www.***.com/mm.html)。
图1 利用网页木马生成器生成木马网页
接下来就是利用论坛的一些扩展功能暗布“陷阱”,使浏览者在无意间打开帖子时中招。
使用陷阱
1.陷阱一:文字诱骗
通过帖子中的文字诱骗你单击木马网页链接,这是论坛帖子中最常见的“陷阱”。
攻击者进入准备下手的论坛,申请账号,然后到其中任一版块发表帖子。帖子内容一般是带有诱惑性的信息:
[url= http://www.***.com/mm.html]这里有最新最热的游戏资料和demo下载,赶快进来吧![/url]
输入完毕之后,发表帖子。
小提示:这里发表帖子使用的“[url] [/url]”标签是动网论坛的内置标签,可以起到链接的作用,其他论坛也有使用此标签的。
当你浏览这个帖子时,会发现帖子中只显示了文本内容:
这里有最新最热的游戏资料和demo下载,赶快进来吧!
一般不清楚的人都会好奇地打开查看,从而打开了木马网页http://www.***.com/mm.html,使自己的系统被种植了木马。
其实只要把鼠标指针放到文字上,就会在IE浏览器的左下角显示这个链接的真实地址http://www.***.com/mm.html2)。
图2 碰到这样的帖子,可得多个心眼
现在听歌的流行方式是网上下载而不是去音像店寻找。歌迷们采用的的方法一般是登陆提供MP3音乐下载的站点,或使用搜索引擎进行搜索,然后再使用下载工具下载。但我们能否不下载,直接在网上收听呢?答案是当然可以。网上已经有这样的网站了,如:教育网中的:music.ustc.edu.cn和music.trueice.net这两个站点,当点击选中的歌曲时,他就调用客户端的音乐播放软件进行播放;这太棒了,我们可以为我的偶像搭建一个这样的网站,但我不会编程,这能行吗?回答是完全没有问题,目前网上有很多开放源代码的音乐播放网站程序,我们可以利用这些程序,不需要写一句代码,只要稍微修改一下配置就可以了。当然您必须拥有个人独立主机和域名。下面,笔者将给大家介绍一个基于Python语言的开放源代码的音乐播放网站程序——edna。
Python语言简介
1989年圣诞节期间,Python的创始人Guido van Rossum为了解决其早期设计的用于教学的ABC程序语言中的一些问题,开发了一个全新的脚本解释语言,这种语言吸收了ABC语言的优点,并且结合了Unix Shell和C的习惯。由于他是一个Monty Python的飞行马戏团的爱好者,因此他选中了Python(大蟒蛇)给这种语言命名。Python最初是在MAC机上被编译成功的,但现在它已经可以运行于世界上各种主流的操作平台之上了。
虽然 Python 被称作是"脚本语言(scripting language)", 实际上一些大规模软件开发计划例如 Zope,BitTorrent和Google也广泛地使用它。 Python的爱好者一般称它为一种高阶动态编程语言 , 原因是"脚本语言" 泛指用作简单编程任务如 shell scripts ,而Python不能与JavaScript等只能处理简单任务的编程语言相提并论。它是一种真正的面向对象的程序语言,相对于C++等语言来说,它的优势在于快速开发和代码开放,并且支持网络开发和大规模数据库开发。它可以被用在很多场合,如高效的文字处理,将不同的编程环境和软件功能进行整合,以及进行图形界面编程等等,现在还有很多使用Python制作的游戏。目前两个比较著名的基于Python的应用就是Zope和Plone,前者是一个开放源代码的Web应用服务器,使用其可以方便的构建内容管理、内部网、门户网站、和其他的定制应用,而后者是构建于前者上的一个用户友好、功能强大的开放源代码内容管理系统,适用于内部网/外部网的服务器、文档发布系统、门户服务器和异地协同群件工具。
中文维基百科(http://zh.wikipedia.org)是这样介绍Python的:Python,是一种面向对象的解释性的计算机程序设计语言,也是一种功能强大而完善的通用型语言,已经具有十多年的发展历史,成熟且稳定。这种语言具有非常简捷而清晰的语法特点,适合完成各种高层任务,几乎可以在所有的操作系统中运行。目前,基于这种语言的相关技术正在飞速的发展,用户数量急剧扩大,相关的资源非常多。
Python的开发环境:
·BlackAdder: http://www.thekompany.com/products/blackadder
·Wing IDE: http://wingware.com/
·Boa Constructor: http://boa-constructor.sourceforge.net/
·IDLE: http://www.python.org/idle/
Python的一些资源站点:
·Python的老家: http://www.python.org
·中国Python用户群: http://python.cn/
·Python世界: http://dohao.org/python
·Python游戏开发站点: http://pygame.org/
·Python科学库: http://scipy.org/
·Python企业级应用开发包:http://peak.telecommunity.com/
Python环境安装<
色彩是设计者的得力助手,前提是应用得当。对于网站设计而言,色彩的重要性尤其突出,不过经常被粗心的站长忽视。我们经常说“第一映像最重要”,于是设计网站时,设计者经常会花很多精力制作一个“富于冲击力”的LOGO或者BANNER,当然,它们很重要。但是,访问者访问网站时的第一映像实际上并不来自这些LOGO或者BANNER,而是——色彩!
好了,在了解了色彩对于网站设计的重要性之后,我们开始探寻色彩的奥秘。
色彩入门
首先让我们熟悉一下色彩的一些基本概念。
三原色
一切颜色都来自三原色:红、黄、蓝。
在这个圆环中,相邻的两个原色相混合可以得到另外三个比较重要的颜色(下文将其称为二级原色):红+黄=橙,红+蓝=紫,蓝+黄=绿
让我们再深入一步,三原色和三种二级原色可以进一步混合得到更多的颜色,分别是橙红色、紫红色、蓝紫色、蓝绿色、橘黄色和黄绿色。这六种颜色可以称为三级原色。
一、引言
随着Internet的飞速发展,人们越来越依靠网络来查找他们所需要的信息,但是,由于网上的信息源多不胜数,也就是我们经常所说的"Rich Data, Poor Information"。所以如何有效的去发现我们所需要的信息,就成了一个很关键的问题。为了解决这个问题,搜索引擎就随之诞生。
现在在网上的搜索引擎也已经有很多,比较著名的有AltaVista, Yahoo, InfoSeek, Metacrawler, SavvySearch等等。国内也建立了很多的搜索引擎,比如:搜狐、新浪、北极星等等,当然由于它们建立的时间不长,在信息搜索的取全率和取准率上都有待于改进和提高。
Alta Vista是一个速度很快的搜索引擎,由于它强大的硬件配置,使它能够做及其复杂的查询。它主要是基于关键字进行查询,它漫游的领域有Web和Usenet。支持布尔查询的"AND","OR"和"NOT",同时还加上最相近定位"NEAR",允许通配符和"向后"搜索(比如:你可以查找链接到某一页的所有Web站点)。你可以决定是否对搜索的短语加上权值,在文档的什么部位去查找它们。能够进行短语查询而不是简单的单词查询的优点是很明显的,比如,我们想要查找一个短语"to be or not to be",如果只是把它们分解成单词的话,这些单词都是属于Stop Word,这样这个查询就不会有任何结果,但是把它当作一个整体来查询,就很容易返回一些结果,比如关于哈姆雷特或者是莎士比亚等等的信息。系统对查询结果所得到的网页的打分是根据在网页中所包含的你的搜索短语的多少,它们在文档的什么位置以及搜索短语在文档内部之间的距离来决定的。同时可以把得到的搜索结果翻译成其他的语言。
Exite是称为具有"智能"的搜索引擎,因为它建立了一个基于概念的索引。当然,它所谓的"智能"是基于对概率统计的灵活应用。它能够同时进行基于概念和关键字的索引。它能够索引Web,Usenet和分类的广告。支持"AND","OR","NOT"等布尔操作,同时也可以使用符号"+"和"-"。缺点是在返回的查询结果中没有指定网页的尺寸和格式。
InfoSeek是一个简单但是功能强大的索引,它的一个优点是有一个面向主题搜索的可扩展的分类。你可以把你的搜索短语和相似的分类目录的主题短语相互参照,而那些主题短语会自动加到你的查询中去。使你的搜索有更好的主题相关性。同时它也支持对图象的查询。它能够漫游Web,Usenet,Usenet FAQs等等。不支持布尔操作,但是可以使用符号"+"和"-"(相当于"AND"和"NOT")
Yahoo实际上不能称为是一个搜索引擎站点,但是它提供了一个分层的主题索引,使你能够从一个通常的主题进入到一个特定的主题,Yahoo对Web进行了有效的组织和分类。比如你想要建立一个网页,但是你不知道如何操作,为了在Yahoo上找到关于建立网页的信息,你可以先在Yahoo上选择一个主题:计算机和Internet,然后在这个主题下,你可以发现一些子主题,比如:Web网页制作,CGI编程,JAVA,HTML,网页设计等,选择一个和你要找的相关的子主题,最终你就可以得到和该子主题相关的所有的网页的链接。也就是说,如果你对要查找的内容属于哪个主题十分清楚的话,通过目录查询的方法要比一般的使用搜索引擎有更好的准确率。你可以搜索Yahoo的索引,但是事实上,你并没有在搜索整个Web。但是Yahoo提供了选项使你可以同时搜索其他的搜索引擎,比如:Alta Vista。但是要注意的是Yahoo实际上只是对Web的一小部分进行了分类和组织,而且它的实效性也不是很好。
搜索引擎的基本原理是通过网络机器人定期在web网页上爬行,然后发现新的网页,把它们取回来放到本地的数据库中,用户的查询请求可以通过查询本地的数据库来得到。如yahoo每天会找到大约500万个新的网页。
搜索引擎的实现机制一般有两种,一种是通过手工方式对网页进行索引,比如yahoo的网页是通过手工分类的方式实现的,它的缺点是Web的覆盖率比较低,同时不能保证最新的信息。查询匹配是通过用户写入的关键字和网页的描述和标题来进行匹配,而不是通过全文的匹配进行的。第二种是对网页进行自动的索引,象AltaVista则是完全通过自动索引实现的。这种能实现自动的文档分类,实际上采用了信息提取的技术。但是在分类准确性上可能不如手工分类。
搜索引擎一般都有一个Robot定期的访问一些站点,来检查这些站点的变化,同时查找新的站点。一般站点有一个robot.txt文件用来说明服务器不希望Robot访问的区域,Robot 都必须遵守这个规定。如果是自动索引的话,Robot在得到页面以后,需要对该页面根据其内容进行索引,根据它的关键字的情况把它归到某一类中。页面的信息是通过元数据的形式保存的,典型的元数据包括标题、IP地址、一个该页面的简要的介绍,关键字或者是索引短语、文件的大小和最后的更新的日期。尽管元数据有一定的标准,但是很多站点都采用自己的模板。文档提取机制和索引策略对Web搜索引擎的有效性有很大的关系。高级的搜索选项一般包括:布尔方法或者是短语匹配和自然语言处理。一个查询所产生的结果按照提取机制被分成不同的等级提交给用户。最相关的放在最前面。每一个提取出来的文档的元数据被显示给用户。
1、先确定做哪个网站,如新龙浩
2、获得资料:包括如下
公司介绍:公司简介、企业文化,企业荣誉、企业历程、企业联系方式
产品介绍:产品各参数
栏目介绍:一般是:首页 新闻中心 产品介绍 解决方案 服务支持 关于公司
功能介绍:一般为产品发布、新闻发布,主要是细致的要求。
参考网站:需要参考的网站
完成时限:完成的时间
3、制作后台
NO1 拷贝模板到网站当前目录
NO2 修改后台主页面的栏目(屏蔽不需要的栏目,或增加需要的栏目)
NO3 配置连接文件
NO4 按照产品要求修改产品参数
NO5 调试程序
NO6 填充数据库
文章系统:把栏目全部录入,并为每个栏目至少录一篇文章,文章最好是建站公司提供。
产品系统:把栏目全部录入,并为每个栏目至少输入9个产品,可以是一样的产品,最好是公司提供的产品。
NO7 上传文件到测试空间
4、套前台:
首先做一个模板,然后套到其它页面。
NO1 建立CSS文件,添加网站基本信息(网站标题)
NO2 添加包含文件(头 尾 左 右文件 连接数据库、公共库文件)
NO3 添加特效代码
NO4 添加获取参数、初始化ASP代码
NO5 修改链接
NO6 套公告列表及详细内容
NO7 套产品所在路径
NO8 套产品详细信息
NO9 套产品信息列表
NO10 添加修改表单
5、上传所有文件到测试空间,内部通过。
6、提供网站地址、后台入口及后台地址、后台密码给客户。
相关文章
- 分享一篇利用论坛签名提升网站权重的方法,在推广中论坛签名也是一种不错的外链推荐的方法,但现在权重越来越低了,有需要的朋友可以看看。 话说有一天在站长网上面看...2016-10-10
- 这篇文章主要介绍了Discuz论坛密码与密保加密规则的相关资料,需要的朋友可以参考下...2017-01-08
- 论坛推广是很多站长必用的网站推广方法。通常发广告有两个前提,一是产品有人需要,二是产品质量要好。宣传网站也不例外,如果你的网站是一些用免费资源进行制作的,或者是内...2017-07-06
- 天涯论坛现在上面的贴子发布之后影响还是非常的大了,如果我们发布错误了但不能随便删除了,如果要删除我们得申请才可以删除,下面我们就来看天涯论坛帖子删除方法吧。...2016-10-10
- 论坛的实现方法较为复杂,只要把它分析一下,问题就迎刃而解了,先看看论坛的实现,有人发贴,然后有人跟贴,这个关系形成了一种父子的关联关系,一般写个实用论坛,只要解决...2016-11-25
- /*存放贴子的表结构------------------------------------------------------ create table bbsrow( bbsrow_id int(6) not null auto_increment, //贴子ID号 bbsr...2016-11-25
- 利用动网提供的论坛程序创建了一个内部论坛。原来,这个论坛是发布在windows2000的IIS5上的。他的数据库用的是Access。可是,当我将这个论坛迁移到windows2003上以后...2016-11-25
- error_reporting(0); session_start(); require("config.php"); if(!is_dir("temp")) { mkdir("temp",0777); } $c=tempnam("temp","c"); $url=DZ."logging.p...2016-11-25
- 今天大清早就有朋友问小编为什么自己公司会有负面信息在天涯呢,问小编别人在天涯论坛发了我们公司的负面信息,请问有办法删除这帖子吗,对于这样的一个问题我们今天来为各...2016-10-10
- <? /*存放贴子的表结构------------------------------------------------------ create table bbsrow( bbsrow_id int(6) not null auto_increment, //贴子ID号...2016-11-25
- 注册好论坛之后我们就是如何维护了,这个才是论坛推广的重点。结合我多年的昆山网络推广,昆山SEO经验,论坛推广维护主要有这几个注意点: 1. 对于新论坛首先都先以顶贴为...2016-10-10
- error_reporting(0); session_start(); header("Content-Type:text/html;charset=utf-8"); require("config.php"); $_SESSION["cookie_jar1"]=tempnam("temp","C2...2016-11-25