本文仅限技术交流，请勿用于非法用途。

本系列分为两部分，第一部分关于鲜果，第二部分关于抓虾。欢迎留下评论参与讨论。

在上一篇文章，NetPuter对鲜果RSS阅读器的跨站漏洞简单分析，现在我们来看看另一款比较流行的RSS阅读器——抓虾。

零、目录

• 对RSS阅读器的跨站漏洞简单分析之鲜果篇
• 对RSS阅读器的跨站漏洞简单分析之抓虾篇(You Are Here)

一、介绍

什么是跨站漏洞？跨站漏洞是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。

二、发现

在上一篇文章《对RSS阅读器的跨站漏洞简单分析之鲜果篇》，我们所利用的地方是鲜果热文和博客榜的搜索框，同样，看看抓虾有没有这个漏洞。

三、测试

按照《对RSS阅读器的跨站漏洞简单分析之鲜果篇》的步骤，首先用一段常用的跨站测试代码。

<script>alert("http://OrzDream.Cn/")</script>

显示的结果：

结果和鲜果一样，没有什么异常。

现在来测试那段让鲜果惨遭毒手的跨站代码（因为空间不允许，这里就不贴出来了）。

四、分析

同样，抓虾已经出现了跨站漏洞了，而且，搜索是通过POST提交数据的，可以在地址栏直接显示，更容易被坏人利用。至于该怎么利用，也不在本文讨论范畴了。

五、总结

RSS阅读器发展到现在，已不再是当初的纯阅读器了。许多新功能增加了我们的体验，我们可以很方便的在博客榜看哪些Blog比较受人欢迎，在热文看哪些文章比较受人青睐，而搜索更是一个不可或缺的功能。说到这里，让我们看看现在的互联网，也不是很安全，每天都有坏人利用一些漏洞对网站进行攻击，对用户进行欺骗。RSS本来就是一种信息聚合的方式，有的信息很有价值，也有的鱼目混珍。通过本系列文章介绍的漏洞，坏人可以轻松利用“http://re.xianguo.com/search?keyword=OrzDream”这类地址进行构造以达到他们的目的。因此，我们需要提高自己的安全警惕，注意防范。

本文仅限技术交流，请勿用于非法用途。

PS：感觉又写得很乱，很杂……

本文仅限技术交流，请勿用于非法用途。

NetPuter曾经学过一段时间黑客技术，包括木马、入侵、利用、编程等等。当然咯，不是拿来做恶的啦，主要是想了解技术和防身用的。其间有了解过跨站漏洞，貌似现在很多站（大到百度搜狗，小到一些CMS和Blog程序）都有这个漏洞。前晚突然发现了鲜果也好像有这个漏洞！而且还不只一处！更不只一个！

本系列分为两部分，第一部分关于鲜果，第二部分关于抓虾。欢迎留下评论参与讨论。

零、目录

• 对RSS阅读器的跨站漏洞简单分析之鲜果篇(You Are Here)
• 对RSS阅读器的跨站漏洞简单分析之抓虾篇

一、介绍

什么是跨站漏洞？跨站漏洞是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。

二、发现

前晚发现的是，如果文章标题中含有HTML代码，将会直接在鲜果热文中直接执行该HTML代码。发现后，马上写信告知果果，今天我再测试了下一些HTML标签，发现已经失效了。看来鲜果的响应真快，况且今天还是周六，中秋假期期间，而鲜果的工作人员们还在工作，在这里我代表CCAV，MAV，国际奥组委……表示感谢！

但是，就在我测试HTML标签对文章标题有没有影响时，旁边的搜索引起了我的注意——没错，就是跨站！类似的搜索框在鲜果中有2处：鲜果热文和博客榜。

三、测试

废话不多说，首先用一段常用的跨站测试代码。

<script>alert("http://OrzDream.Cn/")</script>

显示的结果：

根据搜索框里的结果我们可以看出来，鲜果把"改成了\"。那么我们就用一段不需要”"“的跨站代码（因为空间不允许，这里就不贴出来了）。

四、分析

到这里，鲜果热文已经出现了跨站漏洞了（经测试，博客榜也有此漏洞）。鲜果仅仅过滤了"是微不足道的。而且，搜索是通过POST提交数据的，可以在地址栏直接显示，更容易被坏人利用。至于该怎么利用，就不在本文讨论范畴了。

本文仅限技术交流，请勿用于非法用途。

我经常看一些国外Blog的文章，但有些Blog我不能直接访问，那就用RSS Feed订阅吧。但是如果订阅的Blog是采用摘要输出的话呢，想看又看不了，不看又觉得可惜，怎么办？你还想去为了这么一篇打开你私藏的工具么，太大材小用了。有没有“更高更快更强”的办法呢？肯定是有的啦，我们用Google的梯子翻墙吧。

Google的梯子是什么？就是这个很常用东东：语言工具。当然咯，还要准备好手套，鞋，因为翻墙是一项很伟大又很艰巨的任务！

打开Google的“语言工具”，然后找到“翻译网页”，输入想要翻墙去看的文章地址，然后在“»”前选择中文，在“»”后选择英文（你也可以选其他的，但是要记住一点，我们不是要翻译网页的，所以表选错。还有，不要选择“»”前后都是一样的语言），再点“翻译”。稍微等一下，你就已经爬到了“墙顶”——现在，你可以看你想看的文章了。

（这里拿我的Blog的FeedBurner种子做演示，因为我总是访问不了的说。）

小心别摔着了！

PS：预告：有童鞋说麻烦，那我就做成插件吧。当然，我只会Maxthon的~

大概八年前吧，我开始接触浏览器这玩意儿。我的第一次就给了Maxthon，开始用着还不错，后来越用越好，虽然中间也是FireFox出来左右我一下，但我还是坚持用Maxthon，因为它有着某种特殊的意义。好吧，我承认，我是Maxthon控。^^

大概一年前吧，我开始接触RSS阅读器这玩意儿，我的第一次就给了抓虾，开始用着还不错，但是自从鲜果出现在我面前之后，我就彻底把抓虾丢掉了，一直到现在。好吧，我再承认，我是鲜果控。^^,too.

在OrzDream开门之初，我就写了《让你家马桶更加舒服——增强Maxthon2的Feed订阅功能!》。这是我想了挺久的文章，结果没人顶（蹲在墙角画圈……），可能是因为过程太复杂了吧。今天，NetPuter再给大家带来一款用于Maxthon的鲜果应用——《Maxthon插件：订阅到鲜果》。

第一次发Maxthon插件不知道要怎么介绍，呃，这个插件的功能就是“在浏览含有Feed信息的网页时，点击该快捷链接，即可把此Feed订阅到鲜果。”，很简单，只要下载安装后，看到需要订阅的页面，点插件栏的“订阅到鲜果”按钮就可以啦。这个页面不限制于是Feed页面还是Blog页面，因为鲜果它能自动分析并抓取！

• 扩展名称：订阅到鲜果
• 扩展版本：v1.0.0
• 扩展作者：NetPuter
• 扩展描述：在浏览含有Feed信息的网页时，点击该快捷链接，即可把此Feed订阅到鲜果。
• 扩展预览：
  
• 下载链接：
  • Maxthon官方下载页面
  • BRSBOX分流下载页面

好啦，介绍就是这样，更多大家自己体验吧！

PS：知道Maxthon的中文名叫傲游，但我还是喜欢叫Maxthon。
PS2：这玩意儿到底是插件还是扩展！貌似是扩展>插件，插件@扩展的说~

还是开学了，也还是更新速度缓了下来了。开学第一周，感觉平平淡淡的。不过，用手机鲜果阅读倒是很刺激，因为每天会有很多很多Feed更新，看到好的也就只有收藏起来，到刚才才大概整理好。

原文作者：Janko
原文地址：http://www.jankoatwarpspeed.com/post/2008/09/05/10-sketchy-fonts-for-web-designers.aspx
翻译：NetPuter

不久之前我一直在寻找一些很不错的写生风格的字体，然后用于我的项目。但是它们并非高品质的写生风格字体，所以今天给大家分享写生风格字体之中我最喜欢的10款字体。

• Caitlyn
  
• VTKS 36
  
• Sketchy
  
• Sketch Rockwell
  
• Mia's Scribblings
  
• FFF Tusj
  
• Pointy
  
• Urban Sketch
  
• Karabine
  
• Kraboudja
  

Tip：如何在Photoshop里使用写生风格的字体

写生风格的字体，和纸张的纹理配合起来很不错。当然咯，你有不计其数的方式来用这些字体，只有想不到的，没有做不到的。这里有一个例子让你知道该怎么做。另外最近我做了一个和这风格类似的设计。

PS：这些字体我也很喜欢的说，再加上一点点创意，一定会有更多有Feel的设计。（这么一点点东西也能拿来当译文，拍飞~）