Web

通过‘人人网6周年’活动发布的XSS分析

5个月前

由logicmd发布在Development, Web

大约半年前，人人弄出国站内信”暗恋门”XSS的漏洞，盗取cookies，病毒分发站内信，曾有童鞋撰文分析过这个事件。（传送门）

今天，满屏的姜姝君（没截图，人人自己公关删太快了）和后来的技术宅改变世界的状态都是这次XSS的具体体现

表现在，点击URL以后，立马也会发一个同样状态，LZ也有中招，翻看技术宅改变世界http://www.wix.com/active93/active93）的源代码
(更多…)

Hacker XSS

访客浏览器操作系统识别插件WP-UserAgent修改

1年前

由logicmd发布在Development, Web

最近把显示访客浏览器和操作系统的插件给换掉了，以前用的是很多人都推荐的 Comment Info Detector。无奈作者一年多都没有更新了，而且我也不需要其中的国别显示的flag，因此就换成了更加轻量级的 wp-useragent，从使用的效果上来看，对于访客的浏览器好操作系统识别也更加细致一些。

一、原理

从原理上看，此类插件都是通过读取MySQL数据库里面的wp_comments table，把其中UserAgent字段读出来，然后通过一系列正则表达式匹配，经常用到的函数诸如preg_match('/Windows NT 6.1/i', $ua)等php函数，最终剥离出访问者的浏览器和操作系统的及其对应的版本号剥离过程。

如何高亮作者评论，前人已有不少赘述，一类如 How to: Style author comments in WordPress 2.7 ，介绍了通过css样式表实现高亮作者评论；另一类如 WordPress高亮作者和文章置顶的实现，讨论稍多，前半部分将如何标记作者评论，后半段则同样是通过css样式表实现高亮作者评论。但是这种方法并不适用于用于嵌套评论系统(Threaded Comments)的主题，本文则着力讨论作者评论高亮在嵌套评论中的非插件实现。
(更多…)

CSS Decoration Web WordPress