Owen Gong

`浏览器版本：IE7+ 或其他浏览器，无法防御IE6及以下版本浏览器中的XSS` IE6~8中有太多你意想不到的特性，不光是你说的这个。为避免伤害高雅，不建议兼容IE6~8。 建议使用python-xss-filter的网站严禁IE6浏览器访问。

style="behavior:url('xss.htc')" 需要同源下的xss.htc才能触发。 style的过滤后面慢慢增加吧，不光是xss问题，style属性还会带来很多别的问题，所以建议暂时在源码中去除style属性的支持。

any update? 阿里云还支持这个项目吗？

Now all tests passed. ``` $ python -m unittest ............................................... ---------------------------------------------------------------------- Ran 47 tests in 0.116s OK ```

请在虚拟机内部，相应环境下使用如下命令检查容器是否成功启动： ``` docker-compose ps ``` 如果容器已成功启动，请按照对应环境中的说明，在虚拟机内部访问目标，看是否能成功访问。 如果可以成功访问，请自行检查虚拟机网络。

因为这个复现利用条件过于苛刻，所以一直没合并。 希望能有个Windows版本，突破一下，成为vulhub里第一个Windows漏洞 >.

Welcome, I really hope to see the English version of the vulhub. I had 2 idea about the translation before: 1. You don't have to translate exactly as the original....

因为vulhub是一个长期的工作，而且随着环境的增加，维护的难度会越来越大。 所以vulhub当初立项的时候，考虑的几个要素是： 1. 稳定。几乎所有的环境，都使用官方源、官网、官方github项目等作为软件的下载、升级方式。 2. 开放。几乎所有基础环境，都基于hub.docker.com，然后利用放在base目录下的Dockerfile源码来编译得到。不使用第三方镜像，不使用`docker commit`。 最理想的状态是，即使10年以后，我们仍然能由vulhub的源码，得到所有漏洞环境。所以，我不赞成使用第三方源。 当然，国内下载速度太慢这个问题仍然困扰部分用户。我们现在的解决方案是： 1. 将软件编译、安装的部分，放在base目录下，然后编译为基础镜像，放在dockerhub中。只要dockerhub官方不倒闭或不封号，以后就不用再重新编译这个软件。 2. 漏洞环境尽量不再执行编译操作，而是在基础镜像的基础上，通过配置文件、命令参数等方式来构造漏洞环境。 这样，使用vulhub的用户，只需要用国内的dockerhub镜像（如daocloud加速器），即可快速运行漏洞环境。 当然，现在还有不少漏洞环境仍然包含编译的过程，我们需要慢慢进行优化。

我觉得这个PR很好，我可以借着这个机会来说一下我的一些想法。 当初做vulhub的初衷之一，是为了解决安全从业人员一个痛点：历史漏洞的复现和学习。 举个简单例子，心脏滴血是一个非常经典的漏洞。在漏洞初次出现的时候，大家只需要使用手头上已经有的Apache等web服务器，即可复现该漏洞。 但在4年后的今天，我们手上的大部分主机都已经不再存在这个漏洞，我们要学习这个漏洞，必然需要去找老旧的机器或者从源码开始编译openssl。这些工作对于现在的安全从业者来说成本是很高的。 可以预见，随着时间的推移，这些老漏洞越来越难以复现。vulhub将这些环境的编译方法写在Dockerfile里，并将编译好的环境放在dockerhub里，都是定格时间的一种方法。 所以为了vulhub能使用10年及更久，我考虑的重要因素是上面说到的“稳定”和”开放“，而”速度“这个只能作为次要因素考虑。希望大家能够理解~

请使用64位Linux机器测试该漏洞，该环境（docker in docker）可能并不支持Mac。