m**********e 发帖数: 12525 | 1 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting,
但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞,
可以好好利用。
第一步;就是第三方普通用户需要有一台自己完全控制的web server,
在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如
a.swf
第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中,
比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便
访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。
第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
目标ID的完整四段IP了。
另外,如果你没有完全可控的web server,怎么办?哈哈哈,为了解决这个
问题,我想了好多办法,现在准对买卖提,也有完整解决方案了,你们谁
想知道,再交200新伪币。 |
q**u 发帖数: 12289 | 2 嗯,简单易行,而且老邢管不了
【在 m**********e 的大作中提到】 : 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting, : 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞, : 可以好好利用。 : 第一步;就是第三方普通用户需要有一台自己完全控制的web server, : 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如 : a.swf : 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中, : 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便 : 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。 : 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
v******a 发帖数: 45075 | 3 这个就是那些签名档里显示IP那种?大多数人没那个兴致吧。
【在 m**********e 的大作中提到】 : 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting, : 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞, : 可以好好利用。 : 第一步;就是第三方普通用户需要有一台自己完全控制的web server, : 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如 : a.swf : 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中, : 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便 : 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。 : 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
q**u 发帖数: 12289 | 4 不一样。不过大多数人本来就不关心别人ip是什么
【在 v******a 的大作中提到】 : 这个就是那些签名档里显示IP那种?大多数人没那个兴致吧。
|
m**********e 发帖数: 12525 | 5 动态的web分2种,一种叫server site include,就是动态图像是server上产生的,
第三方server可以看记录
还有一种叫做client side include,也就是动态图像是client上产生的,第三方
server没法看记录。
你说的那种破玩意,叫做client side include,是用javascript在客户端上产生的,
第三方sever没法看,都是骗人的把戏。
你好好领会领会我顶楼的文章,嘿嘿,技术含量很高的
【在 v******a 的大作中提到】 : 这个就是那些签名档里显示IP那种?大多数人没那个兴致吧。
|
v******a 发帖数: 45075 | 6 瞟了眼,我不感兴趣,我又不准备当魏老师
【在 m**********e 的大作中提到】 : 动态的web分2种,一种叫server site include,就是动态图像是server上产生的, : 第三方server可以看记录 : 还有一种叫做client side include,也就是动态图像是client上产生的,第三方 : server没法看记录。 : 你说的那种破玩意,叫做client side include,是用javascript在客户端上产生的, : 第三方sever没法看,都是骗人的把戏。 : 你好好领会领会我顶楼的文章,嘿嘿,技术含量很高的
|
k***g 发帖数: 7244 | 7 too old了,如果正想藏IP,随便穿梭一下,或者各种各样的代理 (譬如 cgi/php web
proxy,tor,甚至发愣功的无界,自由之门 等代理),你这种方法都查不出来,现在
买卖提最大的漏洞是签名档里可以放 flash ....
【在 m**********e 的大作中提到】 : 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting, : 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞, : 可以好好利用。 : 第一步;就是第三方普通用户需要有一台自己完全控制的web server, : 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如 : a.swf : 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中, : 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便 : 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。 : 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
E*****e 发帖数: 75 | 8 这么没有技术含量的东西能骗到几个人啊
【在 m**********e 的大作中提到】 : 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting, : 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞, : 可以好好利用。 : 第一步;就是第三方普通用户需要有一台自己完全控制的web server, : 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如 : a.swf : 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中, : 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便 : 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。 : 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
f****i 发帖数: 59 | 9 不就个web counter吗。如果我用cterm咋办?如果我上这来
专用一个profile, 不下载任何图片,咋办?
【在 m**********e 的大作中提到】 : 动态的web分2种,一种叫server site include,就是动态图像是server上产生的, : 第三方server可以看记录 : 还有一种叫做client side include,也就是动态图像是client上产生的,第三方 : server没法看记录。 : 你说的那种破玩意,叫做client side include,是用javascript在客户端上产生的, : 第三方sever没法看,都是骗人的把戏。 : 你好好领会领会我顶楼的文章,嘿嘿,技术含量很高的
|
T*********e 发帖数: 39815 | 10 呵呵,你这么一提醒,过几天弃婴又要说自创了一个新方法,可以用qmd里的flash...
web
【在 k***g 的大作中提到】 : too old了,如果正想藏IP,随便穿梭一下,或者各种各样的代理 (譬如 cgi/php web : proxy,tor,甚至发愣功的无界,自由之门 等代理),你这种方法都查不出来,现在 : 买卖提最大的漏洞是签名档里可以放 flash ....
|
|
|
m**********e 发帖数: 12525 | 11 这个flash的方法我几个月前就开卖了,到现在都收入好几百伪币了
【在 T*********e 的大作中提到】 : 呵呵,你这么一提醒,过几天弃婴又要说自创了一个新方法,可以用qmd里的flash... : : web : :
|
m**********e 发帖数: 12525 | 12 那就没办法,不过,即使用cterm,这夜路走多了,总有一天
要遇到鬼的
我只是说,这个http协议是个开放协议,没有秘密,
3k所说只有server的root能看ip是完全错误的
【在 f****i 的大作中提到】 : 不就个web counter吗。如果我用cterm咋办?如果我上这来 : 专用一个profile, 不下载任何图片,咋办?
|
T*********e 发帖数: 39815 | 13 卖了几个月才收了几百?
你需要一个更好的agent了
...
【在 m**********e 的大作中提到】 : 这个flash的方法我几个月前就开卖了,到现在都收入好几百伪币了
|
T*********e 发帖数: 39815 | 14 弃婴把mitbbs黑了吧,这样老邢就有动力改进了
【在 m**********e 的大作中提到】 : 那就没办法,不过,即使用cterm,这夜路走多了,总有一天 : 要遇到鬼的 : 我只是说,这个http协议是个开放协议,没有秘密, : 3k所说只有server的root能看ip是完全错误的
|
D****g 发帖数: 2860 | 15 要彻底解决,只能彻底禁掉所有external url.
【在 m**********e 的大作中提到】 : 那就没办法,不过,即使用cterm,这夜路走多了,总有一天 : 要遇到鬼的 : 我只是说,这个http协议是个开放协议,没有秘密, : 3k所说只有server的root能看ip是完全错误的
|
m**********e 发帖数: 12525 | 16 没那么容易,只要买卖提还提供图片上载,就可以上载插入javascript的
动态gif,就可以合法访问第三方web server,留下记录。
【在 D****g 的大作中提到】 : 要彻底解决,只能彻底禁掉所有external url.
|
z*********n 发帖数: 94654 | 17 我一般都用ssh tunnel到家里上网
所以查出来也是家里的charter communication的ip,嘿嘿,有个屁用
【在 f****i 的大作中提到】 : 不就个web counter吗。如果我用cterm咋办?如果我上这来 : 专用一个profile, 不下载任何图片,咋办?
|
z*********n 发帖数: 94654 | 18 没事,我在www下点图片看都不登录的,就是千百万个guest的一个ip
我用term的时候都ssh到家里tunnel过来,那种isp的ip没有任何意义
【在 m**********e 的大作中提到】 : 没那么容易,只要买卖提还提供图片上载,就可以上载插入javascript的 : 动态gif,就可以合法访问第三方web server,留下记录。
|
x*****i 发帖数: 160 | 19 too old.
if you dont have web server, go to www.statcounter.com, follow the
instruction.
Insert the generated script to your signature.
【在 m**********e 的大作中提到】 : 很简单,因为虽然现在无论是apache还是iis都限制cross site scripting, : 但是并不限制cross site的静态web文件,这是http的一个重大安全漏洞, : 可以好好利用。 : 第一步;就是第三方普通用户需要有一台自己完全控制的web server, : 在这台web server上放一个图片比如a.jpg,或者放一个flash电影比如 : a.swf : 第二步,就是把图片a.jpg,或者flash电影a.swf,插入买卖提的文章中, : 比如,你的文章上方http://ip/a.jpg,这样目标ID访问文章后,也顺便 : 访问了http://ip/a.jpg. 你的web server上便有了目标ID的四段IP的记录。 : 第三步,对比目标ID的前2段IP和你web server上的完整四段IP,就可以知道
|
m**********e 发帖数: 12525 | 20 too bad,你肯定从来没在买卖提试验过
买卖提过滤替代html和script语言,所以你是无法在论坛上插入script的,你这方法,
根本行不通。
【在 x*****i 的大作中提到】 : too old. : if you dont have web server, go to www.statcounter.com, follow the : instruction. : Insert the generated script to your signature.
|
V****r 发帖数: 460 | |