#从别人博客转来，原来这就是余弦抱怨的那篇被Baidu和谐掉的文章。

作者：余弦

有些XSS不好利用啊，比如有些后台的XSS漏洞，你进不了别人的后台，怎么能 利用他的XSS漏洞呢？进得了别人的后台，还利用这个XSS漏洞干什么？其实这个时候可以种个后门（如果那是个持久型的XSS，这是后话）。有些被称为鸡 肋的XSS漏洞其实很多时候是因为没有找到合适的利用方式而已。

...

项目地址：http://code.google.com/p/anehta/

摘抄一部分内容，方便学习：

Q： 为什么叫：Anehta ?

A： 因为“雅典娜”的名字是 ：athena ，但是这个名字已经被sourceforge上的某人抢了，所以按照“刺氏命名法”，把“athena”反过来，本项目正式命名为： Anehta，中文发音：“阿内塔”

1.From：http://hi.baidu.com/ycosxhack/blog/item/36569f51806499888d54300a.html

CSRF蠕虫顾名思义就是利用CSRF技术进行传播的Web蠕虫，前段时间我的这篇文章《译言CSRF蠕虫分析》说明了CSRF蠕虫存在的事实，译言网站（以下称这样的宿主为victim_site）的这个CSRF蠕虫是由用户驱动的，蠕虫的代码都存放于另外一个

......

暂时写了三个拿来YY的Bug，很多Bug都不想或不敢写出来，Z-Blog的到处都是CSRF，能很简单的清空博客数据，近期看看有没安全些的博客，得换一个了，太Bug了。

刚google了下wp，貌似csrf问题也很严重。。。

是不是代表着，现在很多博客，都可以去清人家数据— —!!!

先拿朋友的WP看下能不能加个管理员···

 标有 (*) 的检查项目表示该项是针对相关问题的根本解决方法，应当尽最大努力去完成这些内容。未标 (*) 的项目，表示该项并不能完全消除安全隐患，只是说通过这种方法可以避免发生安全问题。...