http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E


如上的连接是一个号称瑞星被黑了的人发表的。其实从URL上可以清楚的看出只不过是通过URL来传输Query字段而已。其中为了传输中文，还进行了quote编码。大家做WEB开发的做个错误提示页面也是人之常情，可是被这类鸟人利用了却不好。现在我用过的框架不多，不过基本上是不区分从query提交的和post提交的。
不知各位有么有什么办法避免这种通过query字段来无聊的人。记得前一段时间号称工商银行被黑的，也是这个问题。

-- 
从前有一只很冷的毛毛虫，他想获得一点温暖。而获得温暖的机会只有从树上掉下来，落进别人的领口。
片刻的温暖，之后便失去生命。而很多同类却连这片刻的温暖都没有得到就..
我会得到温暖么？小心翼翼的尝试，却还是会受到伤害。
我愿为那一刻的温暖去拼，可是谁愿意接受?

欢迎访问偶的博客：
http://blog.csdn.net/gashero

On 1/20/07, gashero <harry.python在gmail.com> wrote:
> http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E
>
>
> 如上的连接是一个号称瑞星被黑了的人发表的。其实从URL上可以清楚的看出只不过是通过URL来传输Query字段而已。其中为了传输中文，还进行了quote编码。大家做WEB开发的做个错误提示页面也是人之常情，可是被这类鸟人利用了却不好。现在我用过的框架不多，不过基本上是不区分从query提交的和post提交的。
> 不知各位有么有什么办法避免这种通过query字段来无聊的人。记得前一段时间号称工商银行被黑的，也是这个问题。
>
这种很难避免。就是使用post也是一样。最主要的是识别用户的身份。如果你的功能本身就没有这种限定，那根本没有什么办法的。

-- 
I like python!
UliPad <>: http://wiki.woodpecker.org.cn/moin/UliPad
My Blog: http://www.donews.net/limodou

On 1/20/07, gashero <harry.python at gmail.com> wrote:
>
>
> http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E
>
>
>
> 如上的连接是一个号称瑞星被黑了的人发表的。其实从URL上可以清楚的看出只不过是通过URL来传输Query字段而已。其中为了传输中文，还进行了quote编码。大家做WEB开发的做个错误提示页面也是人之常情，可是被这类鸟人利用了却不好。现在我用过的框架不多，不过基本上是不区分从query提交的和post提交的。
> 不知各位有么有什么办法避免这种通过query字段来无聊的人。记得前一段时间号称工商银行被黑的，也是这个问题。
>
> --
> 从前有一只很冷的毛毛虫，他想获得一点温暖。而获得温暖的机会只有从树上掉下来，落进别人的领口。
> 片刻的温暖，之后便失去生命。而很多同类却连这片刻的温暖都没有得到就..
> 我会得到温暖么？小心翼翼的尝试，却还是会受到伤害。
> 我愿为那一刻的温暖去拼，可是谁愿意接受?
>
> 欢迎访问偶的博客：
> http://blog.csdn.net/gashero
> _______________________________________________
> python-chinese
> Post: send python-chinese at lists.python.cn
> Subscribe: send subscribe to python-chinese-request at lists.python.cn
> Unsubscribe: send unsubscribe to  python-chinese-request at lists.python.cn
> Detail Info: http://python.cn/mailman/listinfo/python-chinese


显示错误页面为什么一定要跳转呢？直接render错误页面的模版并返回就没这问题了。
另外 django 不会将 get post 请求混为一谈，不知道你说这个干嘛。

-- 
http://codeplayer.blogspot.com/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://python.cn/pipermail/python-chinese/attachments/20070120/b1f24967/attachment.html 

gashero wrote:
> http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E
> 
> 
> 如上的连接是一个号称瑞星被黑了的人发表的。其实从URL上可以清楚的看出只不过是通过URL来传输Query字段而已。其中为了传输中文，还进行了quote编码。大家做WEB开发的做个错误提示页面也是人之常情，可是被这类鸟人利用了却不好。现在我用过的框架不多，不过基本上是不区分从query提交的和post提交的。
> 不知各位有么有什么办法避免这种通过query字段来无聊的人。记得前一段时间号称工商银行被黑的，也是这个问题。

基本的安全设计原则是不要无条件相信任何来自用户提交的数据。出现此类问题，
显然是程序设计中的考虑不周，根本不应允许用户直接提交将显示在网站上的信
息。如果对显示的信息缺少验证，那么这将是一个XSS漏洞，在某些情况下会导致
特权提升和信息的不当透露等问题的。

Cheers,
-- 
Xin LI <delphij在delphij.net>	http://www.delphij.net/
FreeBSD - The Power to Serve!

-------------- 下一部分 --------------
一个非文本附件被清除...
发信人: %(who)s
主题: %(subject)s
日期: %(date)s
大小: 249
Url: http://python.cn/pipermail/python-chinese/attachments/20070120/dc1fa52f/attachment-0001.pgp 

刚刚写了一个小脚本，用来从输入字符串生成quote字符串的。大家可以尝试用来自娱自乐哈。我也测试过了，我编的的那些WEB应用也可以使用这个漏洞来搞笑。


# -*- coding: gbk -*-
# File: toquote.py
# Date: 2007-1-18
# Author: gashero
# Copyright at 1999-2007, Harry Gashero Liu.

"""
由一个字符串生成可以经过URL来传输的quote编码字符串的脚本
可以对包括中文和特殊符号在内的多种符号进行编码
编码前一律由GBK编码转换为UTF-8编码，可以适应大多数WEB应用的默认编码
"""

import urllib
import msvcrt

msg=raw_input('input your message: ')
msg=unicode(msg,"GBK").encode("UTF-8")
retstr=""
for ch in msg:
	ch=hex(ord(ch))[2:]
	retstr+="%"+ch
print retstr
print "Press [ANY] key to exit!"
msvcrt.getch()



-- 
从前有一只很冷的毛毛虫，他想获得一点温暖。而获得温暖的机会只有从树上掉下来，落进别人的领口。
片刻的温暖，之后便失去生命。而很多同类却连这片刻的温暖都没有得到就..
我会得到温暖么？小心翼翼的尝试，却还是会受到伤害。
我愿为那一刻的温暖去拼，可是谁愿意接受?

欢迎访问偶的博客：
http://blog.csdn.net/gashero
-------------- next part --------------
An embedded and charset-unspecified text was scrubbed...
Name: toquote.py
Url: http://python.cn/pipermail/python-chinese/attachments/20070122/42037c8c/attachment.ksh 

On 1/20/07, LI Xin <delphij at delphij.net> wrote:
> gashero wrote:
> > http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E
> >
> >
> > 如上的连接是一个号称瑞星被黑了的人发表的。其实从URL上可以清楚的看出只不过是通过URL来传输Query字段而已。其中为了传输中文，还进行了quote编码。大家做WEB开发的做个错误提示页面也是人之常情，可是被这类鸟人利用了却不好。现在我用过的框架不多，不过基本上是不区分从query提交的和post提交的。
> > 不知各位有么有什么办法避免这种通过query字段来无聊的人。记得前一段时间号称工商银行被黑的，也是这个问题。
>
> 基本的安全设计原则是不要无条件相信任何来自用户提交的数据。出现此类问题，
> 显然是程序设计中的考虑不周，根本不应允许用户直接提交将显示在网站上的信
> 息。如果对显示的信息缺少验证，那么这将是一个XSS漏洞，在某些情况下会导致
> 特权提升和信息的不当透露等问题的。
>
> Cheers,
> --
> Xin LI <delphij at delphij.net>    http://www.delphij.net/
> FreeBSD - The Power to Serve!
>
>

同意。应该通过更好设计来避免这类问题的发生。


-- 
GoogleTalk: qcxhome at gmail.com
MSN: qcxhome at hotmail.com
My Space: tkdchen.spaces.live.com
BOINC: boinc.berkeley.edu
中国分布式计算总站: www.equn.com

附议 麦田守望者

2007/1/22, 麦田守望者 <qcxhome在gmail.com>:
> On 1/20/07, LI Xin <delphij在delphij.net> wrote:
> > gashero wrote:
> > >
> http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E
> > >
> > >
> > >
> 如上的连接是一个号称瑞星被黑了的人发表的。其实从URL上可以清楚的看出只不过是通过URL来传输Query字段而已。其中为了传输中文，还进行了quote编码。大家做WEB开发的做个错误提示页面也是人之常情，可是被这类鸟人利用了却不好。现在我用过的框架不多，不过基本上是不区分从query提交的和post提交的。
> > > 不知各位有么有什么办法避免这种通过query字段来无聊的人。记得前一段时间号称工商银行被黑的，也是这个问题。
> >
> > 基本的安全设计原则是不要无条件相信任何来自用户提交的数据。出现此类问题，
> > 显然是程序设计中的考虑不周，根本不应允许用户直接提交将显示在网站上的信
> > 息。如果对显示的信息缺少验证，那么这将是一个XSS漏洞，在某些情况下会导致
> > 特权提升和信息的不当透露等问题的。
> >
> > Cheers,
> > --
> > Xin LI <delphij在delphij.net>    http://www.delphij.net/
> > FreeBSD - The Power to Serve!
> >
> >
>
> 同意。应该通过更好设计来避免这类问题的发生。
>
>
> --
> GoogleTalk: qcxhome在gmail.com
> MSN: qcxhome在hotmail.com
> My Space: tkdchen.spaces.live.com
> BOINC: boinc.berkeley.edu
> 中国分布式计算总站: www.equn.com
> _______________________________________________
> python-chinese
> Post: send python-chinese在lists.python.cn
> Subscribe: send subscribe to python-chinese-request在lists.python.cn
> Unsubscribe: send unsubscribe to  python-chinese-request在lists.python.cn
> Detail Info: http://python.cn/mailman/listinfo/python-chinese

1£¬ÔÚϵͳÖÐÉ趨×Ô¶¨ÒåµÄÐÅÏ¢Ìáʾ£»
2£¬Ó¦ÓжÀÁ¢µÄÐÅÏ¢ÌáʾҳÃ棻
3£¬²»ÄÜ´ÓÍâ´¦requestÐÅÏ¢¹ýÀ´Ô­ÑùÏÔʾ£»
ÆäËû¡£¡£¡£¡£


On 1/25/07, qiang lin <linqiang.cn在gmail.com> wrote:
>
> ¸½Òé ÂóÌïÊØÍûÕß
>
> 2007/1/22, ÂóÌïÊØÍûÕß <qcxhome在gmail.com>:
> > On 1/20/07, LI Xin <delphij在delphij.net> wrote:
> > > gashero wrote:
> > > >
> >
> http://buy.rising.com.cn/bank/Errorpage.aspx?Msg=%C8%F0%D0%C7%D2%B2%B2%BB%B9%FD%C8%E7%B4%CB%A3%AC%BA%D9%BA%D9%A3%A1%D5%D5%D1%F9%B1%BB%BA%DA%A3%A1%B3%B9%B5%D7%B5%C4%CD%EA%B5%B0%C1%CB%A3%AC%B2%BB%D4%B8%D4%B1%B9%A4%B6%BC%CC%F8%B2%DB%C4%D8%A3%BF%A1%A1%A1%A1%A3%E2%A3%F9%A1%A1%44%75%72%6F%6E
> > > >
> > > >
> > > >
> >
> ÈçÉϵÄÁ¬½ÓÊÇÒ»¸öºÅ³ÆÈðÐDZ»ºÚÁ˵ÄÈË·¢±íµÄ¡£Æäʵ´ÓURLÉÏ¿ÉÒÔÇå³þµÄ¿´³öÖ»²»¹ýÊÇͨ¹ýURLÀ´´«ÊäQuery×ֶζøÒÑ¡£ÆäÖÐΪÁË´«ÊäÖÐÎÄ£¬»¹½øÐÐÁËquote±àÂë¡£´ó¼Ò×öWEB¿ª·¢µÄ×ö¸ö´íÎóÌáʾҳÃæÒ²ÊÇÈËÖ®³£Ç飬¿ÉÊDZ»ÕâÀàÄñÈËÀûÓÃÁËÈ´²»ºÃ¡£ÏÖÔÚÎÒÓùýµÄ¿ò¼Ü²»¶à£¬²»¹ý»ù±¾ÉÏÊDz»Çø·Ö´ÓqueryÌá½»µÄºÍpostÌá½»µÄ¡£
> > > > ²»Öª¸÷λÓÐôÓÐʲô°ì·¨±ÜÃâÕâÖÖͨ¹ýquery×Ö¶ÎÀ´ÎÞÁĵÄÈË¡£¼ÇµÃÇ°Ò»¶Îʱ¼äºÅ³Æ¹¤ÉÌÒøÐб»ºÚµÄ£¬Ò²ÊÇÕâ¸öÎÊÌâ¡£
> > >
> > > »ù±¾µÄ°²È«Éè¼ÆÔ­ÔòÊDz»ÒªÎÞÌõ¼þÏàÐÅÈκÎÀ´×ÔÓû§Ìá½»µÄÊý¾Ý¡£³öÏÖ´ËÀàÎÊÌ⣬
> > > ÏÔÈ»ÊdzÌÐòÉè¼ÆÖеĿ¼ÂDz»ÖÜ£¬¸ù±¾²»Ó¦ÔÊÐíÓû§Ö±½ÓÌá½»½«ÏÔʾÔÚÍøÕ¾ÉϵÄÐÅ
> > > Ï¢¡£Èç¹û¶ÔÏÔʾµÄÐÅϢȱÉÙÑéÖ¤£¬ÄÇôÕ⽫ÊÇÒ»¸öXSS©¶´£¬ÔÚijЩÇé¿öÏ»ᵼÖÂ
> > > ÌØȨÌáÉýºÍÐÅÏ¢µÄ²»µ±Í¸Â¶µÈÎÊÌâµÄ¡£
> > >
> > > Cheers,
> > > --
> > > Xin LI <delphij在delphij.net>    http://www.delphij.net/
> > > FreeBSD - The Power to Serve!
> > >
> > >
> >
> > ͬÒâ¡£Ó¦¸Ãͨ¹ý¸üºÃÉè¼ÆÀ´±ÜÃâÕâÀàÎÊÌâµÄ·¢Éú¡£
> >
> >
> > --
> > GoogleTalk: qcxhome在gmail.com
> > MSN: qcxhome在hotmail.com
> > My Space: tkdchen.spaces.live.com
> > BOINC: boinc.berkeley.edu
> > Öйú·Ö²¼Ê½¼ÆËã×ÜÕ¾: www.equn.com
> > _______________________________________________
> > python-chinese
> > Post: send python-chinese在lists.python.cn
> > Subscribe: send subscribe to python-chinese-request在lists.python.cn
> > Unsubscribe: send unsubscribe to  python-chinese-request在lists.python.cn
> > Detail Info: http://python.cn/mailman/listinfo/python-chinese
> _______________________________________________
> python-chinese
> Post: send python-chinese在lists.python.cn
> Subscribe: send subscribe to python-chinese-request在lists.python.cn
> Unsubscribe: send unsubscribe to  python-chinese-request在lists.python.cn
> Detail Info: http://python.cn/mailman/listinfo/python-chinese




-- 
ÈËÉúÈôÖ»Èç³õ¼û¡­¡­

Gtalk iexper在gmail.com
Blog  http://www.iexper.com/blog/
-------------- 下一部分 --------------
Ò»¸öHTML¸½¼þ±»ÒƳý...
URL: http://python.cn/pipermail/python-chinese/attachments/20070125/7adae7e0/attachment.html 

谢谢，退订。