用代碼如下：

<script type="text/jscript">
function init() { 
document.write("The time is: " + Date() );

}
window.onload = init;
</script>


利用此代碼可以隱藏網(wǎng)頁(yè)前面的html代碼，運(yùn)行后就只能看見(jiàn)javascript語(yǔ)句里面執(zhí)行的代碼。
并且刷新后也不能再看見(jiàn)網(wǎng)站的源代碼，并可利用javascript執(zhí)行任意代碼。
實(shí)為掛馬不可錯(cuò)過(guò)的最好時(shí)機(jī)。


測(cè)試方法：


<h1>ncph of something<i>before</i></h1> 
<br> the <b>JavaScript</b>... ncphncph


<script type="text/jscript">
function init() { 
document.write("The time is now: " + Date() );

}
window.onload = init;
</script>

And <u>ncph of something</u> after the <b>JavaScript</b>


保存上面的代碼為html頁(yè)面看看。
如果只看到上面的時(shí)間，就證明你的ie也存在此漏洞。(前面和后面的代碼呢？^.^)
相信稍懂一點(diǎn)html語(yǔ)言的人都知道咋利用吧。
現(xiàn)在百分之九十幾的ie都存在此漏洞。
在xp sp2 2000 sp4 2003sp1測(cè)試通過(guò)。

by rose of ncph studio 

最新評(píng)論