QJblog xss worm分析与利用教程

　　网(LieHuo.Net)教程 很久以前就想写一只xss worm，但那时的javascript水平不怎样，就放弃了,经过一段时间的学习，收获了很多。我测试的是QJblog 这个系统，QJblog 是由奇迹工作室(www.QJblog.net)开发的一套多用户博客系统，超强人性化设计，个人档、日志、音乐盒、相册、留言板、收藏夹6大主打栏目，具有多用户支持，独立二级域名访问用户博客功能。

　　再来看看它的界面，是不是和QQ空间很相似，其实，它就是一个仿qq空间的多用户博客系统。

 　　一，XSS点：

　　跨站蠕虫的诞生与传播依赖于XSS，所以必须存在跨站漏洞，我花了些时间找XSS插入点，发现了几个，相对的，这套程序的安全性很高，XSS也很隐秘。

　　这个XSS在日志发表处，插入图片的URL中引号过滤不严，在添加一个网络图片输入http://1.jpg" onerror=alert(/xss/) " 弹出XSS的对话框。