安全知识

admin 11年前 (2014-05-25) 1932浏览 0评论

在 以前，可能就许多互联网厂商来说，对于漏洞都没有一个直观的认识，更别说普通的网民了。今年以来，包括这次的OpenSSL或者上次的携程、支付宝等爆出 的漏洞，不管是厂商还是组件，都让大家对漏洞有了进一步的认识。从去年到今年以来，各种SRC遍地开花，...

admin 11年前 (2014-05-25) 1723浏览 0评论

今天是一个特别的日子，早上大家还在讨论XP停止服务的事，到处是相关的新闻和文章，到了下午，到处都是OpenSSL的漏洞消息了。   OpenSSL与SSL安全协议   什么是SSL安全协议，我记得在10年我写过一篇简单介绍的文章，小谈...

admin 11年前 (2014-05-25) 1949浏览 0评论

*本文阐述的漏洞已被上报锤子科技并已确认修补。 Smartisan OS是锤子科技推出基于Android定制的移动操作系统。该系统于去年3月27日在国家会议中心由罗永浩首次公布。在2014年4月11日发布V0.9.9.7 alpha版本中，系统新增...

admin 11年前 (2014-05-24) 2413浏览 0评论

HTTPS那些事（一）HTTPS原理 楔子 谣言粉碎机前些日子发布的《用公共WiFi上网会危害银行账户安全吗？》， 文中介绍了在使用HTTPS进行网络加密传输的一些情况，从回复来看，争议还是有的。随着网络越来越普及，应用越来越广泛，一些网络安全问题...

admin 11年前 (2014-05-24) 3869浏览 0评论

看到一篇文章《解开人人网登录密码的 RSA 加密》，文章中提到人人网为了避免密码的明文传输，使用了纯javascript实现的RSA库来对用户的密码进行加密传输。该javascript实现的RSA库的主页是：http://www.ohdave.com...

admin 11年前 (2014-05-23) 1984浏览 0评论

一直以来，电信通过HTTP劫持推送广告的方式已经存在了很多年了，这种手段至今并未停止。这种手段月光博客曾经有多次曝光，见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器？》。虽然HTTP本身的不安全性导致有路由器控制...

admin 11年前 (2014-05-23) 2358浏览 0评论

世界上有两种密码：一种是防止你的小妹妹偷看你的文件；另一种是防止当局阅读你的文件。 —— Bruce Schneier《应用密码学》 传说中的 “明文密码” 有两种形式：明文传输和明文存储。明文传输的密码不一定明文存储，明文存储的密码也不一定明文传...

admin 11年前 (2014-05-23) 8940浏览 0评论

感谢匿名人士的投递QQ网站登录处没有使用https进行加密，而是采用了RSA非对称加密来保护传输过程中的密码以及敏感信息的安全性。 QQ是在javascript中实现整个过程的。这个想法非常新颖，但是也是存在严重缺陷的。如果被黑客利用，则可能被捕获明...

admin 11年前 (2014-05-23) 2388浏览 0评论

现在很多网站访问的时候都需要提供证书才能够正常访问，只对IE浏览器里面安装过证书的用户提供访问，这样可以让网站更具的安全性。不过证书有时候也增加了我们的麻烦，如当我们去访问一个网站的时候，有时候会报有关证书的错，虽然IE浏览器里面已经安装过了相应的...

admin 11年前 (2014-05-23) 3868浏览 0评论

IE浏览器中已经内置了大量证书颁发机构的公钥，通过下面的操作我们可以查看到已经被信任的证书颁发机构。在IE浏览器的菜单中点击“工具 /Internet选项”，选择“内容”标签，点击“证书”按钮，然后就可以看到IE浏览器已经信任了许多“中级证书颁发机...

admin 11年前 (2014-05-19) 2278浏览 0评论

PSEXEC has been a staple for Windows post exploitation pivoting and system administration for a long while. The basic premise...

admin 11年前 (2014-05-18) 1901浏览 0评论

有段时间没写东西了， 最近看到zone里出现了很多“XSS怎么绕过某某符号的帖子”，觉得很多新手在寻找XSS时走进了一些误区，比如：专门想着怎么去“绕过”。这里做个总结，希望对大家有所帮助。 1. 误区1： XSS，不是专门去“绕过”限制。 打个简单...

admin 11年前 (2014-05-18) 2350浏览 0评论

目录 0x00:基本介绍 0x01:html实体编码 0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理！ 0x03:javascript编码 0x04:base64编码 0x05:闲扯   0x00基本介绍 提...

admin 11年前 (2014-05-17) 1810浏览 0评论

Contents 1 单点登录 2 淘宝网的单点登录策略 3 京东商城单点登录策略 单点登录 单点登录（Single sign-on，SSO）是一种访问控制，在多个软件应用中，用户只需登录其中一个应用，就可以成功访问其他应用；同样，用户只需...

admin 11年前 (2014-05-17) 3043浏览 1评论

JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中，有一个很重要的安全性限制，被称为“Same- Origin Policy”（同源策略）。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限...

admin 11年前 (2014-05-11) 2472浏览 0评论

映像劫持 一、原理 所谓的映像劫持(IFEO)就是ImageFileExecutionOptions，它位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \Im...

admin 11年前 (2014-05-06) 3182浏览 1评论

HTML 5以前的标准由于考虑到浏览器安全问题并不允许直接跨域通信，于是为了达到跨域通信的目的各种蛋疼的解决办法出现了，常用的有：jsonp、使用代理文 件、地址栏hash等等，这些办法的出现在达到解决跨域问题的同时，也增加了前端页面的性能开销和维护...

admin 11年前 (2014-05-06) 2618浏览 0评论

DNS的查询过程是指在客户端通过DNS服务器将一个IP地址转换为一个FQDN（Fully Qualified Domain Name，完全合格的域名），或将一个FQDN转化为一个IP地址，或查询一个区域的邮件服务器的过程。 DNS查询分类 1）按查...

admin 11年前 (2014-05-04) 2956浏览 0评论

权威的安全组织OWASP 2013更新了Top 10：https://www.owasp.org/index.php/Top_10_2013-Top_10 十大安全漏洞分别是： 1. 注入，包括SQL、操作系统和LDAP注入。 2. 有问题的鉴别与会...

admin 11年前 (2014-05-04) 4477浏览 1评论

Windows下采用了短文件名机制，如 C:\wooyun12312394944545.txt 可采用 C:\wooyun~1.txt 访问 生成一个备份文件，文件名是这样的 http://127.0.0.1/admin/databack/sql/m...