如发现有乱码，请点击下面链接浏览原文
正文摘录:

小写一定要正确，否则制作出来是没有效果的。然后取消这条记录前面的勾，如图4。保存下我们的结果，点击“文件”一+“保存”，新取一个文件名字“sample2.mov”，选择“另存为自包含影片”，如图5。这样一个带有跨站脚本的影音文件就生成_『，很简单吧!我们来对比下sanlple.mov与sample2.mov的属性，saInple2.mov史件的体积比原来的略夫’嵝，如图6。图6我们把制作好的samplc2.mov文件}：传到自己的网站上，假设七传后的完整路径是http：／／www.mysne.com／sample2.mov。来到126的邮箱，写一封嵌入sample2.mov的邮件(默认情况下，当浏览器浏览的网页中内嵌有.m0v文件时候就会自动调用QuickTiIneplayer进行播放)，内嵌代码如下(图7)：圈7当对方接收到这封邮件的时候，浏览器自动播放saInple2.mov文件，而我们的xSs语句也执行了，如图8。你可以把xss语句写的更好些，达到隐蔽的目的：一)图8防范方法不让内嵌的QuickTime影片『j动播放，当想看的时候下载到本地再播放。禁止自动播放的方法如下。打开QuickTimePIayer，点击“编辑”+“偏好设置”+QujckTime“偏好设置”，选择浏览器怀签栏，取消“自动播放影片”选项，如图9。图9小编点评：最近上网看到关于QuickTiIlle的资料挺多的，正好有作者投来这篇稿件就被我选上了。美中不足的就是作者还是习惯性的以自己的水平为中心来写文章，菜菜们还是不大懂得这一个弹框框的漏洞有f{‘么用。如果有读者知道把这个javascript脚本换成带木马的内容，后果就很严重了。有的时候，把危害特别大的技术说含糊点，只让水平高的人从技术的角度去了解漏洞是行内的潜规则，可是如果一整本杂志部是遮遮掩掩的含糊文章，估计小菜们就该不干_r。小编相信，当某种技术危害很大的时候，所有人都清楚的了解它的原理和细节，才是这个漏洞的危害消失的时候。就像没有人研究注入漏洞，现在就不会出现防注入的防火墙，没有人研究远程溢出漏洞，不出现蠕虫，大家就不会知道要尽快打补丁。所以我期待以后的文章不再遮掩……(文章中涉及到的QuickTImePro已收录到光盘中)瞄q翻麓鬻镬臻臻罐嘲整