5up3rh3i'blog［提供有偿web代码安全审计服务］

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://superhei.blogbus.com/logs/19485123.html

pwns your box

几个老外的blog上都在谈论uTorrent的一个csrf漏洞，在一次体现了csrf攻击的邪恶。这个主要是uTorrent的本地Web UI存在csrf漏洞，具体请看
http://r00tin.blogspot.com/2008/04/utorrent-pwn3d.html
http://xs-sniper.com/blog/2008/04/21/csrf-pwns-your-box/

现在很多p2p软件都有本地的web server做缓冲，虽然不一定是web管理，但是我们还是可以fuzz一把local web server，结合crsf直接溢出.... :)

其实我在[Sql-injection In Xss]：http://superhei.blogbus.com/logs/8080280.html已经体现了这样的思路。 另外很多搞脚本的一般本地都有安装web测试环境，而且经常在自己的文章里面给出了这个本地的url，很多人没有意识到这样危险性，我在[Just a fun]：http://superhei.blogbus.com/logs/12289653.html正好证明了这点。

还有就是在sowhat牛牛blog上的[攻击木马]：http://hi.baidu.com/secway/blog/item/7f4ec019ec8ba04043a9ad14.html 其实思路就是一客户端攻击的延伸，sowhat牛牛还给出了他的攻击思路，不过很多攻击工具都可以搞，而且不一定要"溢出"之类的系统级漏洞，如我blog上攻击nbsi的那个例子：http://superhei.blogbus.com/logs/10355378.html

这个世界越来越邪恶了，难怪著名地下黑客boy gg每次都那么小心~~~~