m**********e
发帖数: 12525 | 1 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
可以好好利用。
第一步;就是第三方普通用户需要有一台自己完全控制的web server,
在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
a.swf
第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
目标ID的完整四段IP了。
另外,如果你没有完全可控的web server,怎么办?哈哈哈,为了解决这个
问题,我想了好多办法,现在准对买卖提,也有完整解决方案了,你们谁
想知道,再交200新伪币。 |
q**u
发帖数: 12289 | 2 嗯,简单易行,而且老邢管不了
【在 m**********e 的大作中提到】
: 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
: 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
: 可以好好利用。
: 第一步;就是第三方普通用户需要有一台自己完全控制的web server,
: 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
: a.swf
: 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
: 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
: 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
: 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
v******a
发帖数: 45075 | 3 这个就是那些签名档里显示IP那种?大多数人没那个兴致吧。
【在 m**********e 的大作中提到】
: 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
: 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
: 可以好好利用。
: 第一步;就是第三方普通用户需要有一台自己完全控制的web server,
: 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
: a.swf
: 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
: 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
: 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
: 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
q**u
发帖数: 12289 | 4 不一样。不过大多数人本来就不关心别人ip是什么
【在 v******a 的大作中提到】
: 这个就是那些签名档里显示IP那种?大多数人没那个兴致吧。
|
m**********e
发帖数: 12525 | 5 动态的web分2种,一种叫server site include,就是动态图像是server上产生的,
第三方server可以看记录
还有一种叫做client side include,也就是动态图像是client上产生的,第三方
server没法看记录。
你说的那种破玩意,叫做client side include,是用javascript在客户端上产生的,
第三方sever没法看,都是骗人的把戏。
你好好领会领会我顶楼的文章,嘿嘿,技术含量很高的
【在 v******a 的大作中提到】
: 这个就是那些签名档里显示IP那种?大多数人没那个兴致吧。
|
v******a
发帖数: 45075 | 6 瞟了眼,我不感兴趣,我又不准备当魏老师
【在 m**********e 的大作中提到】
: 动态的web分2种,一种叫server site include,就是动态图像是server上产生的,
: 第三方server可以看记录
: 还有一种叫做client side include,也就是动态图像是client上产生的,第三方
: server没法看记录。
: 你说的那种破玩意,叫做client side include,是用javascript在客户端上产生的,
: 第三方sever没法看,都是骗人的把戏。
: 你好好领会领会我顶楼的文章,嘿嘿,技术含量很高的
|
k***g
发帖数: 7244 | 7 too old了,如果正想藏IP,随便穿梭一下,或者各种各样的代理 (譬如 cgi/php web
proxy,tor,甚至发愣功的无界,自由之门 等代理),你这种方法都查不出来,现在
买卖提最大的漏洞是签名档里可以放 flash ....
【在 m**********e 的大作中提到】
: 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
: 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
: 可以好好利用。
: 第一步;就是第三方普通用户需要有一台自己完全控制的web server,
: 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
: a.swf
: 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
: 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
: 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
: 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
E*****e
发帖数: 75 | 8 这么没有技术含量的东西能骗到几个人啊
【在 m**********e 的大作中提到】
: 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
: 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
: 可以好好利用。
: 第一步;就是第三方普通用户需要有一台自己完全控制的web server,
: 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
: a.swf
: 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
: 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
: 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
: 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
f****i
发帖数: 59 | 9 不就个web counter吗。如果我用cterm咋办?如果我上这来
专用一个profile, 不下载任何图片,咋办?
【在 m**********e 的大作中提到】
: 动态的web分2种,一种叫server site include,就是动态图像是server上产生的,
: 第三方server可以看记录
: 还有一种叫做client side include,也就是动态图像是client上产生的,第三方
: server没法看记录。
: 你说的那种破玩意,叫做client side include,是用javascript在客户端上产生的,
: 第三方sever没法看,都是骗人的把戏。
: 你好好领会领会我顶楼的文章,嘿嘿,技术含量很高的
|
T*********e
发帖数: 39815 | 10 呵呵,你这么一提醒,过几天弃婴又要说自创了一个新方法,可以用qmd里的flash...
web
【在 k***g 的大作中提到】
: too old了,如果正想藏IP,随便穿梭一下,或者各种各样的代理 (譬如 cgi/php web
: proxy,tor,甚至发愣功的无界,自由之门 等代理),你这种方法都查不出来,现在
: 买卖提最大的漏洞是签名档里可以放 flash ....
|
|
|
m**********e
发帖数: 12525 | 11 这个flash的方法我几个月前就开卖了,到现在都收入好几百伪币了
【在 T*********e 的大作中提到】
: 呵呵,你这么一提醒,过几天弃婴又要说自创了一个新方法,可以用qmd里的flash...
:
: web
:
:
|
m**********e
发帖数: 12525 | 12 那就没办法,不过,即使用cterm,这夜路走多了,总有一天
要遇到鬼的
我只是说,这个http协议是个开放协议,没有秘密,
3k所说只有server的root能看ip是完全错误的
【在 f****i 的大作中提到】
: 不就个web counter吗。如果我用cterm咋办?如果我上这来
: 专用一个profile, 不下载任何图片,咋办?
|
T*********e
发帖数: 39815 | 13 卖了几个月才收了几百?
你需要一个更好的agent了
...
【在 m**********e 的大作中提到】
: 这个flash的方法我几个月前就开卖了,到现在都收入好几百伪币了
|
T*********e
发帖数: 39815 | 14 弃婴把mitbbs黑了吧,这样老邢就有动力改进了
【在 m**********e 的大作中提到】
: 那就没办法,不过,即使用cterm,这夜路走多了,总有一天
: 要遇到鬼的
: 我只是说,这个http协议是个开放协议,没有秘密,
: 3k所说只有server的root能看ip是完全错误的
|
D****g
发帖数: 2860 | 15 要彻底解决,只能彻底禁掉所有external url.
【在 m**********e 的大作中提到】
: 那就没办法,不过,即使用cterm,这夜路走多了,总有一天
: 要遇到鬼的
: 我只是说,这个http协议是个开放协议,没有秘密,
: 3k所说只有server的root能看ip是完全错误的
|
m**********e
发帖数: 12525 | 16 没那么容易,只要买卖提还提供图片上载,就可以上载插入javascript的
动态gif,就可以合法访问第三方web server,留下记录。
【在 D****g 的大作中提到】
: 要彻底解决,只能彻底禁掉所有external url.
|
z*********n
发帖数: 94654 | 17 我一般都用ssh tunnel到家里上网
所以查出来也是家里的charter communication的ip,嘿嘿,有个屁用
【在 f****i 的大作中提到】
: 不就个web counter吗。如果我用cterm咋办?如果我上这来
: 专用一个profile, 不下载任何图片,咋办?
|
z*********n
发帖数: 94654 | 18 没事,我在www下点图片看都不登录的,就是千百万个guest的一个ip
我用term的时候都ssh到家里tunnel过来,那种isp的ip没有任何意义
【在 m**********e 的大作中提到】
: 没那么容易,只要买卖提还提供图片上载,就可以上载插入javascript的
: 动态gif,就可以合法访问第三方web server,留下记录。
|
x*****i
发帖数: 160 | 19 too old.
if you dont have web server, go to www.statcounter.com, follow the
instruction.
Insert the generated script to your signature.
【在 m**********e 的大作中提到】
: 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
: 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
: 可以好好利用。
: 第一步;就是第三方普通用户需要有一台自己完全控制的web server,
: 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
: a.swf
: 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
: 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
: 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
: 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
m**********e
发帖数: 12525 | 20 too bad,你肯定从来没在买卖提试验过
买卖提过滤替代html和script语言,所以你是无法在论坛上插入script的,你这方法,
根本行不通。
【在 x*****i 的大作中提到】
: too old.
: if you dont have web server, go to www.statcounter.com, follow the
: instruction.
: Insert the generated script to your signature.
|
V****r
发帖数: 460 | |
