之前说过如何通过RSS获取Google Chrome的最新开发版本，现在又在说如何在Google Chrome中过滤广告了，好吧，我承认，我是Google Chrome控。^^

但是，Google Chrome也有让我不太满意的地方，那就是广告过滤。感觉不少人都需要浏览器的广告过滤功能吧，在我使用Google Chrome过程中，几乎没有发现哪个广告被过滤了，顶多就是上Yahoo!邮箱的弹窗被拦截而已。前一段时间在Download Squad看到了这篇文章，但又由于NetPuter脑残不了解IE设置代理服务器的方法，也就拖到今天发布咯，这里要感谢Null.帮我找到正确设置方法的灵感。

如何在Google Chrome中设置代理服务器

因为下面介绍的3个工具中就有2个工具需要用到代理服务器，所以就先单独拿出来讲。

1. 打开Google Chrome，点击右上角的扳手图标，然后点“选项”。
2. 在“谷歌浏览器 选项”中切换到“高级选项”选项卡，然后点“更改代理设置”。
3. 此时候，弹出来的是我们很熟悉的“Internet 属性”，然后点“拨号和虚拟专用网络设置”右边的“设置”（如果你所处的网络是局域网，那么就点“局域网设置”）。
4. 给“对此连接使用代理服务器”打钩，然后点“高级”，在“HTTP”类型的右边的“地址”和“端口”填写相关信息。
5. 点“确定”，再点“确定”，然后把Google Chrome关掉再打开。

就是这么简单，不过使用了独立内核的Google Chrome的代理服务器居然是和IE的一起，有点遗憾。

在Google Chrome中过滤广告的工具

其实这些工具并不只用在Google Chrome中，也可以用于其他任何可以设置代理服务器的浏览器中。

• 软件名称：Webwasher Classic
• 软件大小：1064 KB
• 软件类型：应用程序
• 官方网站：CyberGuard | Webwasher Classic
• 下载页面：CyberGuard | Download

下载安装打开，不需要设置就可以投入。当你浏览一个有广告的网页时，任务栏的WebWasher的图标就会在闪，然后广告就被闪，“删”掉咯。很方便的说，你还可以右击任务栏图标看看一些统计和设置。

• 软件名称：iReject Trash
• 软件大小：199 KB
• 软件类型：应用程序
• 官方网站：FREE iRejectTrash v.1.03
• 下载页面：FREE iRejectTrash Download

下载（需要填写一些信息）安装打开，设置代理服务器的地址为“127.0.0.1”或者“localhost”，设置代理服务器的端口为“4128”。接着就可以浏览啦，你也可以点击任务栏图标打开主界面查看过滤记录。点界面右侧的“Menu”的“Blocking Rules”可以设置过滤规则，点“Proxy Settings”可以设置代理服务器的端口（如果默认的4128端口被占用的话）。

• 软件名称：Privoxy
• 软件大小：429 KB
• 软件类型：应用程序
• 官方网站：Privoxy - Home Page
• 下载页面：SourceForge.net: Files

相信FireFox控对这玩意儿不陌生吧，它和Tor配套使用能够“翻墙”哦！还是下载安装打开，然后设置代理服务器的地址为“127.0.0.1”或者“localhost”，设置代理服务器的端口为“8118”。据说Privoxy不仅可以过滤广告，还可以翻墙……我也不知道，有知道的童鞋评论告诉我吧。

不算体验的体验

我分别使用上面的软件，访问CnBeta，发现所有的Google提供的广告都会被过滤掉，而其他广告过滤效果不大一样，大家可以去试试，我就不上图了。

PS：鲜果验证 BANG89C6D3D9EF9D14D4543F1057XIANGUO

昨天在学校里憋了一天，超想去参加WordCamp China 2008！可惜，我在深圳，WordCamp在北京，就算稍微离我近一点的上海也没多大可能的说。上课的时候就想看文字直播，不过没有找到……不过！今天果果给我发来了WordCamp China 2008 清晰无码照！赶紧去浏览，弥补昨天的遗憾！下面，给大家展示几张现场图片哈^^：

• 这位就是WordPress的创始人马特·穆伦维格(Matt Mullenweg)啦
  
• 想看正面？没问题
  
• 他们在聊什么？猛击这里看《专访WordPress创始人：中国缺乏创业合作平台》
• 入场的证件
  
• 很好看的“广告”
  
• 现场的布置
  
• 现场的叽歪应用
  
• 主持MM，超级大美女
  
• Matt在演讲
  
• Matt和美女支持的合照
  
• WordCamp的T-shirt
  
• 黑莓控集体秀
  
• ……

还有超多，我没有贴出来，大家可以从2个地址观看：

WordCamp China 2008 现场图集：

http://www.flickr.com/groups/wcc2008/

WordCamp China 2008 现场图集幻灯片：

http://www.flickr.com/groups/wcc2008/pool/show/with/2872025659/

真的是越看越羡慕吖！强烈建议在深圳举办WordCamp China！

Google Chrome的发布足足骚扰我三天：9月1号Google官方称即将发布浏览器Google Chrome；9月2号Google Chrome正式发布；9月3号Google Chrome评测及技巧……这三天，几乎一半的Feed是关于Google Chrome的，由此可见Google对全世界的影响力！

之后我也试用了下，速度真的很快，尤其是对于那些AJAX应用比较多的网站：比如鲜果吖，修改频道设置一下就行了；还有在海内停车，也很流畅。但是对于官方对外发布的v0.2.149.29 Beta，但我觉得其在线安装和不能选择安装目录令我体验不太好。后来又发现了个可以获取Google Chrome的最新开发版本（Google Chromium）的地方。对于那些Google Chrome的Fans来说，要如何才能跟踪并且第一时间获得其最新动态呢？

这时候，Page2RSS就派上用场了！“有些网站可能是你喜欢的但是不提供RSS，对习惯了RSS阅读的你来说,这似乎不是一件完美的事，但是通过Page2RSS可以实现用RSS阅读器订阅这个Feed，随时关注它，一旦有更新就会通过RSS通知你。”（via CnBeta）

使用方法很简单，打开Page2RSS，在“Page URL”输入“这个地址”，点击“to RSS”。马上你就可以获得一个RSS Feed供你订阅！因为我之前已经订阅了，所以下方会显示内容，如果是一个新地址，这里就是空白的。

点击右边“Subscribe to Feed”下面的“RSS 2.0”或“Atom 1.0”的获得Feed地址，还等什么，快添加到RSS阅读器吧！

在RSS阅读器里跟踪最新动态：

点击Feed中的链接，就会出现所选择的版本的目录：

其中的“chrome-win32.zip”就是该版本的绿色版哦（也就是说可以下载安和选择安装目录啦）！赶快下载吧！

PS：利用Page2RSS还能做很多事，比如订阅Google Logo动态^^

本文仅限技术交流，请勿用于非法用途。

本系列分为两部分，第一部分关于鲜果，第二部分关于抓虾。欢迎留下评论参与讨论。

在上一篇文章，NetPuter对鲜果RSS阅读器的跨站漏洞简单分析，现在我们来看看另一款比较流行的RSS阅读器——抓虾。

零、目录

• 对RSS阅读器的跨站漏洞简单分析之鲜果篇
• 对RSS阅读器的跨站漏洞简单分析之抓虾篇(You Are Here)

一、介绍

什么是跨站漏洞？跨站漏洞是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。

二、发现

在上一篇文章《对RSS阅读器的跨站漏洞简单分析之鲜果篇》，我们所利用的地方是鲜果热文和博客榜的搜索框，同样，看看抓虾有没有这个漏洞。

三、测试

按照《对RSS阅读器的跨站漏洞简单分析之鲜果篇》的步骤，首先用一段常用的跨站测试代码。

<script>alert("http://OrzDream.Cn/")</script>

显示的结果：

结果和鲜果一样，没有什么异常。

现在来测试那段让鲜果惨遭毒手的跨站代码（因为空间不允许，这里就不贴出来了）。

四、分析

同样，抓虾已经出现了跨站漏洞了，而且，搜索是通过POST提交数据的，可以在地址栏直接显示，更容易被坏人利用。至于该怎么利用，也不在本文讨论范畴了。

五、总结

RSS阅读器发展到现在，已不再是当初的纯阅读器了。许多新功能增加了我们的体验，我们可以很方便的在博客榜看哪些Blog比较受人欢迎，在热文看哪些文章比较受人青睐，而搜索更是一个不可或缺的功能。说到这里，让我们看看现在的互联网，也不是很安全，每天都有坏人利用一些漏洞对网站进行攻击，对用户进行欺骗。RSS本来就是一种信息聚合的方式，有的信息很有价值，也有的鱼目混珍。通过本系列文章介绍的漏洞，坏人可以轻松利用“http://re.xianguo.com/search?keyword=OrzDream”这类地址进行构造以达到他们的目的。因此，我们需要提高自己的安全警惕，注意防范。

本文仅限技术交流，请勿用于非法用途。

PS：感觉又写得很乱，很杂……

本文仅限技术交流，请勿用于非法用途。

NetPuter曾经学过一段时间黑客技术，包括木马、入侵、利用、编程等等。当然咯，不是拿来做恶的啦，主要是想了解技术和防身用的。其间有了解过跨站漏洞，貌似现在很多站（大到百度搜狗，小到一些CMS和Blog程序）都有这个漏洞。前晚突然发现了鲜果也好像有这个漏洞！而且还不只一处！更不只一个！

本系列分为两部分，第一部分关于鲜果，第二部分关于抓虾。欢迎留下评论参与讨论。

零、目录

• 对RSS阅读器的跨站漏洞简单分析之鲜果篇(You Are Here)
• 对RSS阅读器的跨站漏洞简单分析之抓虾篇

一、介绍

什么是跨站漏洞？跨站漏洞是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。

二、发现

前晚发现的是，如果文章标题中含有HTML代码，将会直接在鲜果热文中直接执行该HTML代码。发现后，马上写信告知果果，今天我再测试了下一些HTML标签，发现已经失效了。看来鲜果的响应真快，况且今天还是周六，中秋假期期间，而鲜果的工作人员们还在工作，在这里我代表CCAV，MAV，国际奥组委……表示感谢！

但是，就在我测试HTML标签对文章标题有没有影响时，旁边的搜索引起了我的注意——没错，就是跨站！类似的搜索框在鲜果中有2处：鲜果热文和博客榜。

三、测试

废话不多说，首先用一段常用的跨站测试代码。

<script>alert("http://OrzDream.Cn/")</script>

显示的结果：

根据搜索框里的结果我们可以看出来，鲜果把"改成了\"。那么我们就用一段不需要”"“的跨站代码（因为空间不允许，这里就不贴出来了）。

四、分析

到这里，鲜果热文已经出现了跨站漏洞了（经测试，博客榜也有此漏洞）。鲜果仅仅过滤了"是微不足道的。而且，搜索是通过POST提交数据的，可以在地址栏直接显示，更容易被坏人利用。至于该怎么利用，就不在本文讨论范畴了。

本文仅限技术交流，请勿用于非法用途。