Tencent 大楼的技术

ELOHIM

就一张图片，客官请留下言论再走。

imcw

http://baike.baidu.com/view/31870.htm

浏览器安全设置过高。

ELOHIM

imcw 发表于 2014-10-8 13:56
http://baike.baidu.com/view/31870.htm

浏览器安全设置过高。

感谢解答！~

如果我相信了腾讯，取消了相关的设置，那如果真的进入了一个使用此技术开发的恶意界面，怎么办呢？

Web服务器在处理网页的同时处理 SSI 指令。当 Web服务器遇到 SSI 指令时，直接将包含文件的内容插入 HTML网页。如果“包含文件”中包含 SSI 指令，则同时插入此文件。除了用于包含文件的基本指令之外，还可以使用 SSI 指令插入文件的相关信息（如文件的大小）或者运行应用程序或 shell 命令。

#exec 示范

作用：

将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入，这取决于使用的参数是cmd还是cgi。

语法：

程序代码：

<!--#exec cmd="文件名称"-->

<!--#exec cgi="文件名称"-->

参数：

cmd 常规应用程序

cgi CGI脚本程序

这，第二段引用就比较恐怖的说。

再来看第三段引用吧，百科自己说这样存在安全问题，我在想，这种方法也可以用来挂马吧？？

示例：

程序代码：

<!--#exec cmd="cat /etc/passwd"-->将会显示密码文件

<!--#exec cmd="dir /b"-->将会显示当前目录下文件列表

<!--#exec cgi="/cgi-bin/gb.cgi"-->将会执行CGI程序gb.cgi。

<!--#exec cgi="/cgi-bin/access_log.cgi"-->将会执行CGI程序access_log.cgi。

注意：

从上面的示例可以看出，这个指令相当方便，但是也存在安全问题。

imcw

ELOHIM 发表于 2014-10-8 14:11
感谢解答！~

如果我相信了腾讯，取消了相关的设置，那如果真的进入了一个使用此技术开发的恶意界面， ...

那发现问题第一反应时什么呢？为了世界和平社会和谐我们要怎么做呢？

至于你的疑虑就要看你怎么想的了。就像杀毒软件与破解补丁的矛盾。

ELOHIM

imcw 发表于 2014-10-8 14:15
那发现问题第一反应时什么呢？为了世界和平社会和谐我们要怎么做呢？

至于你的疑虑就要看你怎么 ...

世界上有太多的矛盾了，不显示那一段代码不是损失吧~

ELOHIM

1．显示服务器端环境变量<#echo>
2．将文本内容直接插入到文档中<#include>
3．显示WEB文档相关信息<#flastmod #fsize> (如文件制作日期/大小等)
4．直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)
5．设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)

ELOHIM

突然想起一点来，都说Tencent跟隐私之间的故事，我不相信的。
可是，一个QQ  PC客户端下载页面，有必要增加什么指令呢？

要在客户端执行什么程序？

要不要点开 F12 探寻一下？

linyinlu

我觉得是由于是自动/手动设置了可信站点，而如果想要访问可信站点之外的网页的话就会跳出信息。

ELOHIM

linyinlu 发表于 2014-10-8 15:31
我觉得是由于是自动/手动设置了可信站点，而如果想要访问可信站点之外的网页的话就会跳出信息。

说实际的，不是你说的这样的。

imcw

ELOHIM 发表于 2014-10-8 14:11
感谢解答！~

如果我相信了腾讯，取消了相关的设置，那如果真的进入了一个使用此技术开发的恶意界面， ...

服务器端程序。任何一个动态网页都需要运行服务器端程序。其他的我不说了。它不是运行你的本地计算机的程序。