admin的文章

12年前 (2014-03-09) 4359浏览 0评论

HTML5 是下一代的 HTML，HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的，微数据与微格式等方面的支持，构建对程序、对用户都更有价值的数据驱动的Web。基于HTML5开发的网页APP拥有更短的启动时间，更快的联网速度。...

12年前 (2014-03-09) 2323浏览 0评论

  CSRF 背景与介绍 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等...

12年前 (2014-03-09) 2674浏览 0评论

大家都知道通常用csrf来上传一个文件不是很简单的.问题在于我们创建的假的表单提交的数据跟浏览器文件上传提交的数据有一点不同.那就是上传的请求会有一个filename的参数: -----------------------------25667262...

12年前 (2014-03-09) 2397浏览 0评论

0×00 背景 提起浏览器的同源策略，大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写，所以出现了一些hack的方式来跨域。比如在同域内做一个代理，JSON-P等。但这些方式都存在缺陷，无法完美的实现跨域读写。所...

12年前 (2014-03-09) 1748浏览 0评论

0x00 前言 很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http://hk.promotions.yahoo.com上发现的这个漏洞一样，那些临时站点往往成为我们强大安全...

12年前 (2014-03-09) 4367浏览 0评论

mysql 5.1以后提供了内置的XML文件解析和函数，所以这种注入只能用于5.1版本以后 主要涉及两个函数：ExtractValue()和UpdateXML() 首先看这两个函数的使用示例： 先建立一个带XML格式的示例数据库 CREATE TA...

12年前 (2014-03-09) 1577浏览 0评论

摘要 : 这两天微信POS机开始浮出水面，但真相完全还未触及底层，找到一位真正在做微信POS机的深喉，来完整解密微信POS机是怎么回事。 文/国仁(微信:hawkren 公众号:newhard) 这两天微信POS机开始浮出水面，但真相完全还未触及...

12年前 (2014-03-09) 1494浏览 0评论

摘要 : 糯米狙击阿里O2O 百度钱包杀入移动支付 【听杨姐说】​一直在争夺O2O市场的阿里和腾讯似乎已经忘了还有一个强大的对手——百度。​ 尽管糯米在人人网的手里并没有能够被SNS所带动，但看起来百度对于目前的阿里和腾讯的楚汉争霸非常不爽，他决心要...

12年前 (2014-03-09) 1550浏览 0评论

博文作者：XX 发布日期：2014-01-15 阅读次数：2271 博文内容： 引言 大眼系统是腾讯安全平台部从2008年起自主研发DDoS攻击发现系统，经过5年多的发展，已经发展成集DDoS攻击发现，入侵行为发现，基础数据分析于一身的网络流量分析系...

12年前 (2014-03-09) 1691浏览 0评论

腾讯安全零距离之大眼——大型网络流量分析系统   博文作者：BigHy 发布日期：2013-12-06 阅读次数：5495 博文内容：     引言      对 于服务海量用户的互联网公司的安全从业者而言，能够打造出一...

12年前 (2014-03-09) 2028浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

12年前 (2014-03-09) 2801浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

12年前 (2014-03-09) 2718浏览 0评论

网站 <script type="text/javascript" language="JavaScript"> //: 判断网页是否加载完成 document.onreadyst...

12年前 (2014-03-08) 2739浏览 0评论

1.CSRF漏洞的介绍和危害性                                图1-1  csrf漏洞的攻击过程 CSRF（Cross-site request forgery跨站请求伪造）通常缩写为CSRF或者XSRF。CSRF使黑...

12年前 (2014-03-08) 16846浏览 4评论

Mysql在执行语句的时候会抛出异常信息信息，而php+mysql架构的网站往往又将错误代码显示在页面上，这样可以通过构造如下三种方法获取特定数据。 实际测试环境： mysql> show tables; +----------------+...

12年前 (2014-03-07) 2224浏览 0评论

在还没开始W3A Scan以前，从未考虑过插件结构这么个东西。直到想起以后更新功能的各种问题， 我发现应该要考虑插件结构，晚上回家的时候问了下好基友。他说没接触过，但大体明白。。。瞬间就结了。说半天还是没你弄懂。。。 最后还是昨晚自己去搜了下有关的资...

12年前 (2014-03-07) 1651浏览 0评论

Casey问我：“对于新手，有什么有针对性的诀窍来阅读大型代码库吗？” 碰巧，我认为这是一个非常好的问题。我觉得想要成为一个优秀的开发者，阅读代码库并弄清清楚内部是怎么回事的能力非常重要。在你的职业生涯中你会中途加入一个现有的项目并被要求迅速融入进去...

12年前 (2014-03-07) 1630浏览 0评论

什么是桥接？ 简单来说，桥接就是把一台机器上的若干个网络接口“连接”起来。其结果是，其中一个网口收到的报文会被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。 交换机就是这样一个设备，它有若干个网口，并且这些网口是桥接起来的。于是，与交换...

12年前 (2014-03-07) 2220浏览 0评论

一、信息搜集（这个是先决条件了，一般成败就在于这里） 主要对于子域名（2级、3级、4级）；管理员（工作人员、运维、其他有权限的，程序员） IP段收集（不过现在CDN较多，能获取真实IP可以说是对下一步的检查工作有巨大的帮助） 邮件收集（工作人员、运维...

12年前 (2014-03-07) 1348浏览 0评论

漏洞形成原因： 首先会从受信任网站预加载链接(比如百度) 并显示摘要 并且会把被编码内容给转码回来！ 于是便出现了：XSS ！   首先这个下午注定是不平凡的 因为我到现在还没得午饭吃！ 好吧不扯了，这个XSS是由大黑阔 superhei ...