那么应该会在控制台（用F12来打开它）看到Access is denied的信息。如果你尝试用chrome,Firefox或opera来打开这个连接的话，不出预料小框应该会毫无阻碍的弹起来。
然后我想到了一个办法可以绕过IE的这种限制：

2013年互联网金融对的发展令人震惊。不论是网上银行、移动支付、三方支付、个人贷款都在迅速崛起。工作需要，上年12月初步探测（不能说研究）了下微信支付，其他小伙伴做的支付宝，现在就将探测到的一些成果比较后分享下。

美国时间上周四，有一份超过2000的Tesco.com网站用户的账号信息在互联网上被公开，可以进入上述商户的在线商城账号，并查看个人详细信息以及Tesco的优惠劵。

在美国时间周三晚上，Kickstarter被执法人员通知有黑客入侵，并且获取了部分客户的数据。

之前搞了一期感觉反响挺好的，就又搞了一期。不过说实话审核起来很吃力，因为大家的答案都太给力了。所以在接下来的解释文当中如果出现错误，希望各位看官可以不吝指正。可能参与的人，都发现了这期的核心问题就是【没有了”.”我们应该如何去XSS？】。如果有人有心去谷歌过这个问题，应该会在http://sla.ckers.org/forum/read.php?2,12964,12974这个链接里，找到答案。

FireEye实验室确认，在美国的一个违法网站上发现了一个新的IE 10的0day，这是一个经典的偷渡式攻击。这个0day攻击成功后，会从远程服务器下载一个XOR编码的payload，然后解码并执行。

发表这个声明是为了警示广大网民，FireEye正在与微软安全团队合作进行防御。

最近一段时间 DDoS 攻击事件让基于 NTP 的 DDoS 攻击变得很火热，先看看下面的信息感受下：

如果你对SVG没有任何的概念，可能阅读起来会比较吃力。如果你觉得看不懂可以先百度一下SVG是什么，我们都用它在干一些什么。 首先介绍一下SVG里的<use>元素：

使用<use>结合#来可以引用外部SVG文件中的元素。举个例子来说就是这样：

在J2EE远程代码执行中,大部分的代码执行情况的本质是,能够从外部去直接控制Java对象(其他语言暂不讨论,其实也差不多),控制Java对象大致包括几种情况:直接new对象;调用对象的方法(包括静态方法);访问对象的属性(赋值)等

看到网上关于struts2利用的文章非常多，但是对于漏洞触发跟踪分析的文档比较少，闲来无事跟踪了一下struts最近吵得比较火的两个漏洞，研究了一下能够稳定利用的payload。

这期 XSS 挑战的起因是在阅读“Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters”过后,在其中发现了一个很有趣的话题。那就是在圆括号被过滤的情况下,如何去执行javascript。在文中笔者给出来了这样的解决方案:

这是一篇学习总结，首先对几位未曾谋面也不知道名字的老师表示感谢，通过对你们大作的学习，使我逐渐入门开始跨入XSSer的行列，虽然我现在的水平和大师们比起来还差得太远，脚本方面的基础也不不行，但我会继续努力学习。

对于不允许跳转到第三方的，可以使用location.pathname来跳转，用这个跳转绝对靠谱。

有句成语”path就不是共产党员“就是修饰这个属性的，既然不是共产党员，说明path是靠谱的。

对于允许跳转到第三方的，做好白名单的检查规则。

Server篇其实还缺少了JBOSS和Jetty，本打算放到Server[2]写的。但是这次重点在于和大家分享B/S实现和交互技术。Server[1]已经给大家介绍了许多由Java实现 的WebServer相信小伙伴们对Server的概念不再陌生了。Web服务器核心是根据HTTP协议解析(Request)和处理(Response)来自客户端的请求，怎样去解析和响应来自客户端的请求正是我们今天的主题。

作者：Mickey,瞌睡龙

所有文件已打包可自己搭建测试：

CTF.zip