Web 版的 QQ 和 MSN ，你应该听过甚至用过吧，但是Web版飞信呢？飞信作为即时通讯市场的第二名，用户已超过1亿，因此中国移动推出其 Web 版也就不足为奇（是么？牵强……）。今天 NetPuter 登录 139 邮箱就偶然发现了这个东东，但感觉一般般。

Web 版飞信介绍

139 邮箱推出时尚新玩法，登录 139 邮箱即可绑定飞信，绑定后登录飞信即可与在线好友畅聊。目前该整合功能内测中，深圳移动特邀您一起参与体验测试（测试体验用户限收到本邮件的深圳 139 邮箱用户）。

体验 Web 版飞信

首先登录 139 邮箱，地址在这里。登陆后会发现左下角有一个飞信的小窗口，没错，这就是 Web 版飞信的样子。（小备注一下，我正在用的是 Maxthon2(IE7)@1024*768 ）

直接点击登陆，之后就可以看到 Web 版飞信的样子啦！超级简单（我不是说简约），最上面是用户名以及状态切换，接着就是搜索框，在线好友、短信在线好友以及离线好友。看图再说话（在这里感谢偏执的喜欢和Leewings童鞋陪唠叨做测试哈，请直接忽略聊天内容……）：

可以说， Web 版飞信是和 139 邮箱相互依存的，退出 139 邮箱后，Web版飞信也随即退出，但当登陆 139 邮箱，并非同时登录 Web 版飞信。总的来说，和 Gmail 很像，因此我拿他们做比较，也发现了 Web 版飞信的一些不太好的体验（ Google 就如同成熟的哥哥，而飞信，哎，没长毛的小孩）。

个人感觉

1. 聊天窗口不支持拖动
   刚才才发现原来 Gmail 也不支持，蹲在角落画圈2009年1月30日，我再上了一次 139 邮箱，发现可以拖动啦。
2. Web 版飞信的主窗口太小
   Gmail 的 GTalk 窗口界面可以选择随好友的多少而增高，而Web版飞信的窗口限制在一个小小的地方，好窄（小气）。
3. 不能对短信在线、离线用户发送信息
   我之所以使用飞信就是要给那些短信在线的童鞋发信息滴，你居然不给发信息？！那我还用你干嘛……就算飞信在线的童鞋大部分其它 IM 也会在线，其它 IM 也做的比你好。
4. 娱乐功能不丰富
   作为 Web 版的 APP ，娱乐功能已经很少了（虽说 EXE 版 GTalk 娱乐功能也不多），但怎么说 Gmail 的 GTalk 还有个表情功能，Web 版飞信什么都没有。
5. 若不进行操作则会登录超时
   不给我挂飞信是吧，还是防止别人研究你 Web 版飞信的协议？
6. 不能修改签名
   这个虽说影响不大，但也算一个功能的缺失。
7. 没有显示输入状态
   这个也没什么吧，不过知道对方正在打消息也挺爽的。
8. 最严重：不能良好识别 Enter 键
   我使用输入法过程中，经常会用到 Enter 键。而在 Web 版飞信中，Enter 键也是发送消息的快捷键（其实不能算快捷键，因为连一个发送的按钮都没有）。但是，Web 版飞信不能良好的识别 Enter 键，不论我是在输入的过程中还是想换行（ Shift+Enter ）。酱紫会造成我一条消息被迫写成好几条然后被对方 BS ……

好了，瞎凑了8条不好的体验。感觉 Web 版飞信在开发的过程中就是以 Gmail 的 GTalk 为模板的吧，但是模仿的还不是很彻底。

总结

Web 版飞信还是一个很不成熟的产品，依附在 139 邮箱的边栏，存在感很低。其次很多操作都不是很顺手，也还没有体现出飞信的特点（给短信在线的朋友发信息）。而且 139 邮箱的使用率偏低，用户黏性也不高，还不如独立做成一个 Web 产品，而不是寄人篱下被人限制。

PS1：NetPuter 平时在线也不挂飞信，要用的飞信也是用 LibFetion 。
PS2：后来才发现原来我是被邀请的内测用户，荣幸…（上面的话对于平时很温柔的我好像有点儿鸡冻，移动表介意吖）…

Google Chrome的发布足足骚扰我三天：9月1号Google官方称即将发布浏览器Google Chrome；9月2号Google Chrome正式发布；9月3号Google Chrome评测及技巧……这三天，几乎一半的Feed是关于Google Chrome的，由此可见Google对全世界的影响力！

之后我也试用了下，速度真的很快，尤其是对于那些AJAX应用比较多的网站：比如鲜果吖，修改频道设置一下就行了；还有在海内停车，也很流畅。但是对于官方对外发布的v0.2.149.29 Beta，但我觉得其在线安装和不能选择安装目录令我体验不太好。后来又发现了个可以获取Google Chrome的最新开发版本（Google Chromium）的地方。对于那些Google Chrome的Fans来说，要如何才能跟踪并且第一时间获得其最新动态呢？

这时候，Page2RSS就派上用场了！“有些网站可能是你喜欢的但是不提供RSS，对习惯了RSS阅读的你来说,这似乎不是一件完美的事，但是通过Page2RSS可以实现用RSS阅读器订阅这个Feed，随时关注它，一旦有更新就会通过RSS通知你。”（via CnBeta）

使用方法很简单，打开Page2RSS，在“Page URL”输入“这个地址”，点击“to RSS”。马上你就可以获得一个RSS Feed供你订阅！因为我之前已经订阅了，所以下方会显示内容，如果是一个新地址，这里就是空白的。

点击右边“Subscribe to Feed”下面的“RSS 2.0”或“Atom 1.0”的获得Feed地址，还等什么，快添加到RSS阅读器吧！

在RSS阅读器里跟踪最新动态：

点击Feed中的链接，就会出现所选择的版本的目录：

其中的“chrome-win32.zip”就是该版本的绿色版哦（也就是说可以下载安和选择安装目录啦）！赶快下载吧！

PS：利用Page2RSS还能做很多事，比如订阅Google Logo动态^^

本文仅限技术交流，请勿用于非法用途。

本系列分为两部分，第一部分关于鲜果，第二部分关于抓虾。欢迎留下评论参与讨论。

在上一篇文章，NetPuter对鲜果RSS阅读器的跨站漏洞简单分析，现在我们来看看另一款比较流行的RSS阅读器——抓虾。

零、目录

• 对RSS阅读器的跨站漏洞简单分析之鲜果篇
• 对RSS阅读器的跨站漏洞简单分析之抓虾篇(You Are Here)

一、介绍

什么是跨站漏洞？跨站漏洞是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。

二、发现

在上一篇文章《对RSS阅读器的跨站漏洞简单分析之鲜果篇》，我们所利用的地方是鲜果热文和博客榜的搜索框，同样，看看抓虾有没有这个漏洞。

三、测试

按照《对RSS阅读器的跨站漏洞简单分析之鲜果篇》的步骤，首先用一段常用的跨站测试代码。

<script>alert("http://OrzDream.Cn/")</script>

显示的结果：

结果和鲜果一样，没有什么异常。

现在来测试那段让鲜果惨遭毒手的跨站代码（因为空间不允许，这里就不贴出来了）。

四、分析

同样，抓虾已经出现了跨站漏洞了，而且，搜索是通过POST提交数据的，可以在地址栏直接显示，更容易被坏人利用。至于该怎么利用，也不在本文讨论范畴了。

五、总结

RSS阅读器发展到现在，已不再是当初的纯阅读器了。许多新功能增加了我们的体验，我们可以很方便的在博客榜看哪些Blog比较受人欢迎，在热文看哪些文章比较受人青睐，而搜索更是一个不可或缺的功能。说到这里，让我们看看现在的互联网，也不是很安全，每天都有坏人利用一些漏洞对网站进行攻击，对用户进行欺骗。RSS本来就是一种信息聚合的方式，有的信息很有价值，也有的鱼目混珍。通过本系列文章介绍的漏洞，坏人可以轻松利用“http://re.xianguo.com/search?keyword=OrzDream”这类地址进行构造以达到他们的目的。因此，我们需要提高自己的安全警惕，注意防范。

本文仅限技术交流，请勿用于非法用途。

PS：感觉又写得很乱，很杂……

本文仅限技术交流，请勿用于非法用途。

NetPuter曾经学过一段时间黑客技术，包括木马、入侵、利用、编程等等。当然咯，不是拿来做恶的啦，主要是想了解技术和防身用的。其间有了解过跨站漏洞，貌似现在很多站（大到百度搜狗，小到一些CMS和Blog程序）都有这个漏洞。前晚突然发现了鲜果也好像有这个漏洞！而且还不只一处！更不只一个！

本系列分为两部分，第一部分关于鲜果，第二部分关于抓虾。欢迎留下评论参与讨论。

零、目录

• 对RSS阅读器的跨站漏洞简单分析之鲜果篇(You Are Here)
• 对RSS阅读器的跨站漏洞简单分析之抓虾篇

一、介绍

什么是跨站漏洞？跨站漏洞是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。

二、发现

前晚发现的是，如果文章标题中含有HTML代码，将会直接在鲜果热文中直接执行该HTML代码。发现后，马上写信告知果果，今天我再测试了下一些HTML标签，发现已经失效了。看来鲜果的响应真快，况且今天还是周六，中秋假期期间，而鲜果的工作人员们还在工作，在这里我代表CCAV，MAV，国际奥组委……表示感谢！

但是，就在我测试HTML标签对文章标题有没有影响时，旁边的搜索引起了我的注意——没错，就是跨站！类似的搜索框在鲜果中有2处：鲜果热文和博客榜。

三、测试

废话不多说，首先用一段常用的跨站测试代码。

<script>alert("http://OrzDream.Cn/")</script>

显示的结果：

根据搜索框里的结果我们可以看出来，鲜果把"改成了\"。那么我们就用一段不需要”"“的跨站代码（因为空间不允许，这里就不贴出来了）。

四、分析

到这里，鲜果热文已经出现了跨站漏洞了（经测试，博客榜也有此漏洞）。鲜果仅仅过滤了"是微不足道的。而且，搜索是通过POST提交数据的，可以在地址栏直接显示，更容易被坏人利用。至于该怎么利用，就不在本文讨论范畴了。

本文仅限技术交流，请勿用于非法用途。

大概八年前吧，我开始接触浏览器这玩意儿。我的第一次就给了Maxthon，开始用着还不错，后来越用越好，虽然中间也是FireFox出来左右我一下，但我还是坚持用Maxthon，因为它有着某种特殊的意义。好吧，我承认，我是Maxthon控。^^

大概一年前吧，我开始接触RSS阅读器这玩意儿，我的第一次就给了抓虾，开始用着还不错，但是自从鲜果出现在我面前之后，我就彻底把抓虾丢掉了，一直到现在。好吧，我再承认，我是鲜果控。^^,too.

在OrzDream开门之初，我就写了《让你家马桶更加舒服——增强Maxthon2的Feed订阅功能!》。这是我想了挺久的文章，结果没人顶（蹲在墙角画圈……），可能是因为过程太复杂了吧。今天，NetPuter再给大家带来一款用于Maxthon的鲜果应用——《Maxthon插件：订阅到鲜果》。

第一次发Maxthon插件不知道要怎么介绍，呃，这个插件的功能就是“在浏览含有Feed信息的网页时，点击该快捷链接，即可把此Feed订阅到鲜果。”，很简单，只要下载安装后，看到需要订阅的页面，点插件栏的“订阅到鲜果”按钮就可以啦。这个页面不限制于是Feed页面还是Blog页面，因为鲜果它能自动分析并抓取！

• 扩展名称：订阅到鲜果
• 扩展版本：v1.0.0
• 扩展作者：NetPuter
• 扩展描述：在浏览含有Feed信息的网页时，点击该快捷链接，即可把此Feed订阅到鲜果。
• 扩展预览：
  
• 下载链接：
  • Maxthon官方下载页面
  • BRSBOX分流下载页面

好啦，介绍就是这样，更多大家自己体验吧！

PS：知道Maxthon的中文名叫傲游，但我还是喜欢叫Maxthon。
PS2：这玩意儿到底是插件还是扩展！貌似是扩展>插件，插件@扩展的说~