网易的免费主页空间和免费域名系统在国内的名气不用我多说.光看免费二字就能引来无数眼球.看看下面从web.163.com得到的数据,"[最新信息] 目前Go!申请人数: 1055283"(这里还有一个是我的:)).这是申请了免费空间的用户数量,我想网易域名的使用者也不会比这个少.后来,网易推出了"网易个人主页收费服务",是给有钱人玩的.给予我们这种做主页只为个人消遣的穷苦人民的,只是那免费空间上四处乱跳的广告.更无法忍受的是,那广告随着年龄的增长它竟然会长大.看来是个贪吃的.不行.要好好教训它一下.下面就让我们来看一下主页空间和域名系统所存在的一些问题.
免费的酒----无广告的域名.
先来说说.yeah.net和.126.com的域名吧.富人们有.com&.net.我们没钱的只能来这个了.每次点击免费域名的时候,总会弹出那令人作呕的广告窗体.很是讨厌.别急,让我们马上行动.点击注册好的域名后,当浏览器中显示出"Loading..."的时候.我们按下停止按钮.查看源代码,如下:
<HTML>
<meta http-equiv="refresh" content="2;url=http://Substorm.126.com"><body><iframe border=0 height=1 width=1 src=http://www.163.com/wwwimages/sms/test.html></iframe>
Loading...</html>
域名系统将我们注册时填写的URL加入了里面,有经验的朋友不难想出,如果域名系统没有屏蔽一些特殊符号的话,我们应该可以屏蔽下面的内容,使其不弹出广告窗口,而且还可以自定义跳转页面.这岂不是一件很爽的事情.于是小试了一下,结果真的没有令我失望.看来网易的高薪工程师没在茶余饭后还是很想着我们这些穷苦人民的.其实方法很简单,只要在URL中输入一下内容即可.
"http://Substorm.126.com";><style>"(注意~不包括引号最左和最右边的引号,中间的引号是必须的.其中最前面的是要跳转的URL).原理很简单,使用<style>屏蔽了下面的内容,之后上面的内容就任由我们来发挥了.使用HTML语法,我们可以这样写"http://Substorm.126.com";><title>Welcome</title><body><center>Welcome to SUBSTORM</body><style>",其中,<title></title>中间的内容为跳转时浏览器的标题栏的文字.<body></body>后面是跳转页中的显示的内容.这回的跳转页面就更有意思了.具体效果可以点击http://Substorm.126.com来查看.你完全可以做出来一个相当精制的跳转页面,(啊???真要做的比主页还好看呀~~只是个跳转页面嘛,干吗那么认真.).在这里对HTML语法不做过多的说明,因为大家肯定比我懂的多~
免费的肉----无广告的主页空间.
不光域名有广告,免费的空间也是有广告的.我们仍然不能放过它.当通过网易提供的链接地址(http://go.163.com/user)访问主页空间上的网页时会发现,其中多了这些内容.
<script language=javascript>
<!--
window.open("http://popme.163.com/xy/pop.html";,"NetEase","width=280,height=295");
//--></script>
看来打开他就是广告窗体产生的首犯了.
我们可以通过这样的一个链接http://go.163.com/user//来访问你的主页.这样就不会产生那讨厌的广告了.真是不错.
吃了两份重量级的免费的午餐后再来听我唠叨两句吧~网易很早就提供主页空间和域名了.相信知道这些漏洞的朋友一定不少(我也许是最后一个发现的).但都没有拿出来,也许是怕用的人多了,之后被网管发现修改了代码,大家都用不成了.但经过很长时间的思考后,我还是决定将其写出来.因为漏洞总是要补的.只不是是时间的问题.让大家多了解一些,从中悟出些东西是最主要的.希望我的文章不会引来各位老前辈的唾骂.
|
论坛用户
论坛用户
版主
论坛用户
论坛: 菜鸟乐园 标题: 网易免费主页空间域名系统漏洞简介