摘要：1>什么是XSS?2>XSS脚本攻击3>制造一个cookie攻击4>保护XSS5>笨方法6>过滤绕过7>Flash攻击8>XSS 上传9>XSS 钓鱼跨站脚本的脚本是一个浏览器，同时利用利用一个漏洞为基础的安全解决方案。 这次袭击使内容（脚本） ，在无特权区被执行与权限的一个特权区-即一个特权升级与客户端（浏览器）执行脚本。这些漏洞有可能

注意：这篇文章主要是通过QQ来让大家了解其他方面的密码安全
    前段时间本人对社会工程学有所研究，今天就来草草的谈论下社会工程学防盗QQ号的问题。希望对大家有所帮助。
    人家盗了你的号，虽然没有办法来修改密码，但是有的时候，高手可以对你的资料进行检查，从中找出有用的信息，从而获取你的密保资料，修改你的密码。听起来很恐怖？有的朋友就会说了：我没有把自己的密码资料给过别人啊？那就跟我来吧！
...

啥也不说，直接进入主题。某装B小子太狂妄,实在看不下去,但是就知道对方的QQ号码。因此决定社工他。

注:假设我渗透的目标名称为装B王子

首先我通过搜索引擎搜到了一些装B王子的资料.(搜索引擎很好,很强大。)

并且通过这些资料猜测出装B王子的安全码,修改了装B王子的邮箱的密码.
(你问我安全码到底是什么？偷偷告诉你是他的出生年月日。)

通过查看装B王子的邮件内容得知安全码也是他的通用密码。但是虽然是通用密码，还是有一些帐号进不去。

在这里联系到社会工程学，所以我们要遵守下面的规则来设置密码。

　　一、尽可能的长

　　一般来说，设置密码的时候都要求不短于6位。由此可见，小于6位数的密码极被被破解。从密码破解的角度来看，最普遍的办法就是暴力破解，暴力破解的一个最典型的特征就是对可能使用到的字符进行数学排列组合，一个个进行试验，直到找出正确的密码。如果我们增加了位数，对数学排www.it8g.com列组合了解的朋友就知道，每多增加1位，将产生多少个排列组合的机会。因此，密码尽可能的长是我们首先要遵守的第一条军规。哪怕多于6位使用重复的字符也增加破译的难度。

...

首先说明下是这个洞是在其他地方看到的，只是他没有说的很清楚，好多菜菜都不明白，我就拿这发我的第一个贴吧！这个洞其实就是利用了程序的编码漏洞，下载配置和登陆日志文件，一下是利用方法。下载 mysql_config.php 和 adminlogin_logs.php 两个文件到本地

我爱百度有啊！

byLcnqing
感谢hi群众兄测试，附赠几个插件。。。
1.扫可写目录插件
使用方法：设置扫描起始目录，设置扫描成功N个后停止，扫描。