安全知识

admin 11年前 (2014-08-14) 2526浏览 0评论

0x00 背景 路由被CSRF攻击，修改DNS的话题最近一直比较活跃，但是国内貌似没有一个技术文章详细的分析此漏洞，漏洞成因比较简单，本篇来科普一下。 本篇讲得是一个利用CVE-2013-2645的漏洞，来修改TP-LINK的DNS案例，针对其他路...

admin 11年前 (2014-08-13) 1590浏览 0评论

我大学本科念的是电子工程专业，所以到那个时候为止，我唯一使用过的编程语言就是C/C++、Assembly、以及 Matlab。后来一个偶然 的机会我参加了一个“周末创业”的活动，并且开始渐渐对软件开发和计算机科学感兴趣，然后我发誓我要不择手段地进入这...

admin 11年前 (2014-08-09) 3330浏览 0评论

全 自动区分计算机和人类的图灵测试（CompletelyAutomated Public Turing test to tell Computers and Humans Apart，简称CAPTCHA），俗称验证码，是一种区分用户是计算机或人的全自...

admin 11年前 (2014-08-07) 5812浏览 0评论

0x00 越权漏洞 越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞 的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏...

admin 11年前 (2014-08-07) 1531浏览 0评论

在公共WiFi日益普及的今天，公共WiFi已成为不良企业收集用户信息的工具，以及黑客盗取用户网银非法牟利的手段。由于公共WiFi安全问题逐渐增多，猎豹免费WiFi全国首次发布中国公共WiFi 热点安全报告。报告指出，全中国近21%的公共WiFi热点...

admin 11年前 (2014-08-07) 1478浏览 0评论

在介绍微博推荐算法之前，我们先聊一聊推荐系统和推荐算法。有这样一些问题：推荐系统适用哪些场景？用来解决什么问题、具有怎样的价值？效果如何衡量？ 推荐系统诞生很早，但真正被大家所重视，缘起于以”facebook”为代表的社会化网络的兴起和以“淘宝...

admin 11年前 (2014-08-07) 1523浏览 0评论

研究人员发现，有许多流行网站正在使用一种难以被屏蔽的在线跟踪技术： AddThis Canvas指纹跟踪。 这项跟踪技术是基于一个事实：相同的HTML5 Canvas元素在不同的浏览器上产生出独特的可作为指纹使用的像素——因为浏览器可能使用了不同的...

admin 11年前 (2014-08-07) 3615浏览 2评论

DNS区域传送（DNS zone transfer）指的是一台备用服务器使用来自主服务器的数据刷新自己的域（zone）数据库。这为运行中的DNS服务提供了一定的冗余度，其目的是为 了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。一般来...

admin 11年前 (2014-08-05) 1717浏览 0评论

博文作者：xti9er 发布日期：2014-07-31 阅读次数：614 博文内容：   说 起攻防对抗，大家很熟悉的一句话是 “攻击只需一点即可得手，而防守必须全面设防”。可见多数时候，防守方很被动。当攻防双方在同一维度活动时，攻击者会有...

admin 11年前 (2014-08-05) 2551浏览 1评论

0x01 引子好吧，想在银行边渗透，边拍照的，但是人太多……我也就在我这成功了2次。声明，我只是友情测试，未作任何破坏，另外，我把自己的针对银行做的渗透测试思路拿出来，旨在给银行的安全建设提供一点建议。小弟不才，有什么不对的，还望指正出来。 0x0...

admin 11年前 (2014-08-03) 2007浏览 0评论

0×00 今天从余弦大大微博上看到了这款Android短信蠕虫的信息，于是自己下载了一款研究，看到网上很多报告的md5值不同，不知道是否是变种。接下来就分析一下，这款病毒究竟做了些什么。 0×01 病毒分为两个部分，一个是XXshenqi.apk，另...

admin 11年前 (2014-08-02) 3249浏览 0评论

一 、域环境搭建 + 认识域 + 实验环境 1.前言:    一直想搞内网域渗透,可惜没有遇上好的域环境。看着别人发了多篇域渗透的文章。心里痒痒的 = = 于是乎自己搭建了环境来测试……[这就是屌丝和高富帅的差距啊 从搭建慢慢去学习什么是域。然后...

admin 11年前 (2014-08-02) 1998浏览 0评论

概述 如果你的应用使用SSL证书，则需要决定如何在负载均衡器上使用它们。 单 服务器的简单配置通常是考虑客户端SSL连接如何被接收请求的服务器解码。由于负载均衡器处在客户端和更多服务器之间，SSL连接解码就成了需要关注的焦点。 有两种主要的策略。 S...

admin 11年前 (2014-08-02) 1399浏览 0评论

文中首先解释了加密解密的一些基础知识和概念，然后通过一个加密通信过程的例子说明了加密算法的作用，以及数字证书的出现所起的作用。接着对 数字证书做一个详细的解释，并讨论一下windows中数字证书的管理，最后演示使用makecert生成数字证书。如果...

admin 11年前 (2014-08-02) 2170浏览 0评论

作者：曹志华 一. 摘要 网络攻防是发生在第五空间的对抗和战争。这是一个动态的过程，无论攻击者还是防御者都在实战中寻求进步。攻防双方的“兵器”就在这个战场中不断磨砺和进 化。绿盟科技关注攻防的最新进展，为了帮助客户更好的对抗网络威胁，每个季度会推出...

admin 11年前 (2014-07-31) 1619浏览 0评论

说到web性能，前端工程师很自然地反应是yahoo的30+条优化规则。这些规则可以将网页加载从原来的几秒甚至十几秒较少到3s甚至1s以内。 当一个完整界面展现在用户眼前时，内容就通过不同的字体、图片以及多媒体传达给用户。使用户在1s内看到网页和使用...

admin 11年前 (2014-07-31) 3346浏览 0评论

今天来个教程——教大家组建自己的CF服务器！瞬间满级，可随意购买商城武器，自己添加武器！ 这里用的客户端是美服CF下面开始教程 篇幅比较长 仔细看好每一个步骤 一 下载美服客户端 链接: http://pan.baidu.com/s/1sjQ7EO...

admin 11年前 (2014-07-30) 3086浏览 0评论

有关ADS的简单说明请看：NTFS不利的一面 可以看到ADS在很久以前就被一些安全人员所关注，并且也提出了一些经典的利用，比如隐藏文件，隐藏webshell（交换数据流（ADS）与IIS的前世与今生），随着这次爆出来的IIS的权限绕过，我们再次测试了...

admin 11年前 (2014-07-27) 3251浏览 2评论

博文作者：雪人[TSRC白帽子] 发布日期：2014-07-23 阅读次数：1282 博文内容：   前一段时间有幸参加了由TSRC 发起的一个挑战赛。目标环境运行着一个正常的discuz应用，并且存在一个上传接口，该接口允许上传任意文件,...

admin 11年前 (2014-07-27) 3994浏览 0评论

博文作者：大马胖子 发布日期：2014-06-24 阅读次数：675 博文内容：   TSRC编者按： Web2.0时 代，XSS漏洞不容小觑。特别是在UGC业务，支持“安全的”HTML是业务必须的特性，这就对UGC安全过滤器要求特别高，...