安全知识

admin 11年前 (2014-07-05) 5255浏览 0评论

Punycode是一个根据RFC 3492标准而制定的编码系统,主要用於把域名从地方语言所采用的Unicode编码转换成为可用於DNS系统的编码。Punycode可以防止所谓的IDN欺骗。 早期的DNS（Domain Name System）是只支持...

admin 11年前 (2014-07-05) 2100浏览 0评论

http://www.acunetix.com/blog/web-security-zone/cookie-overdose/ http://homakov.blogspot.de/2014/01/cookie-bomb-or-lets-break-...

admin 11年前 (2014-07-05) 4370浏览 0评论

From: Every C99.php Shell Is Backdoored (A.K.A. Free Shells for Everyone!) C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。 http://127.0.0.1/c99...

admin 11年前 (2014-07-04) 2578浏览 0评论

数据流重定向技术是SSL中间人监测的基础，该技术的使用使得被监测主机与SSL服务器的通信流量都会经过监测主机。对于一般的中间人监测来说，再 加上数据转发机制就已经足够。但对于SSL中间人监测来说，仅仅通过数据流重定向得到的都是经过加密后的数据，无法直...

admin 11年前 (2014-07-04) 1959浏览 0评论

1 中间人攻击概述 中间人攻击（Man-in-the-Middle Attack, MITM）是一种由来已久的网络入侵手段，并且在今天仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之，所 谓的MITM攻击就是...

admin 11年前 (2014-07-04) 1608浏览 0评论

**因种种客观原因，本文所讲全部大家可以认为是胡编乱造，如有雷同纯属做梦*** 2014年6月3日深夜，习科VIP群直播了一次入侵追踪事件，习科维护的海外钓鱼节遭到不明身份黑客的入侵，虽然截图不多，但小编已经把整个经过都记录下来。   &...

admin 11年前 (2014-07-04) 1646浏览 0评论

怎样手工获取我们所感兴趣网站的公钥证书？ 本文由CSDN-蚍蜉撼青松 原创，转载请注明出处！ 一、通过抓包从网络协议数据流中获取 因为不管怎么说，在SSL协议的握手阶段，服务器必然会向客户端/浏览器发送自己的证书，所以我要详细说的这第一种获取证书的方...

admin 11年前 (2014-07-04) 1532浏览 0评论

ARP欺骗、DNS欺骗，与数据流重定向 本文由CSDN-蚍蜉撼青松原创 一、基于ARP欺骗的数据流重定向 1.1 ARP协议及其工作流程 ARP是Address Resolution Protocol（地址解析协议）的简写，RFC826中对其功能的描...

admin 11年前 (2014-07-02) 3219浏览 1评论

摘要：本文的主要内容为：Docker介绍，包括由来、适用场景等；Docker背后的一系列技术；Docker在利用LXC的同时提供了哪些创新；笔者对Docker这种container、PaaS的一些理解；Docker存在的问题和现有解决思路。 ps:D...

admin 11年前 (2014-07-01) 11585浏览 0评论

Windows下NC反弹CMD提权 Server-U等都不可以用的情况下.   一般都可思考用此方法 不过这种方法, 只要对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的所有端口…   那么这种方法也失效了…. 1:通过shell将上传NC和C...

admin 11年前 (2014-06-30) 3035浏览 0评论

0x00 背景 CRLF Injection很少遇见，这次被我逮住了。我看zone中（http://zone.wooyun.org/content/13323）还有一些同学对于这个漏洞不甚了解，甚至分不清它与CSRF，我详细说一下吧。 CRLF是...

admin 11年前 (2014-06-30) 2471浏览 1评论

30C3 CTF 2013 – Sandbox 300 PyExec writeup 環境 還在可以玩玩看XD 裡面介紹了可以用 #coding: <charset> 來繞過 sandbox 的方式滿有趣的 😛 例如 # c...

admin 11年前 (2014-06-30) 3131浏览 1评论

如果受害者使用火狐浏览器，并有使用“记住密码”的习惯。那么在这种场景下我们就可以通过一个XSS来获取目标用户的明文密码。 步骤一，先去目标站点的登录页面，找form： <form method="POST" action...

admin 11年前 (2014-06-30) 1917浏览 0评论

利用php中的一个自动在文件中增加页眉和页脚的功能，隐藏一句话。 在站点的某一目录（如：根目录）下编辑文件php脚本文件，名称为：info.php，内容如下 <?php Phpinfo(); ?> 在本地打开如：http://127.0....

admin 11年前 (2014-06-30) 2734浏览 1评论

云联动 解密国内首个网关级APT解决方案 私有云防护解决方案作为网关设备上的核心技术革新，通过安全网关与云中心联动、安全网关与安全网关之间信息共享，大大强化了安全网关的防护能力，真正实现了全网动态防御。  2006年之前，我们面临的主要威胁是病毒；2...

admin 11年前 (2014-06-29) 1605浏览 0评论

叙利亚电子军（SEA）一贯喜欢以国际上的主要媒体作为攻击目标。 6月23日， 叙利亚电子军通过第三方广告商入侵了路透社的网站， 将访问用户跳转到他们控制的一个网站上。   安全研究专家Frederic Jacobs指出， 尽管攻击的最终目标是路透社...

admin 11年前 (2014-06-29) 1950浏览 1评论

对于网站来说， 再没有什么比用户信息泄露更让人尴尬的了。 尤其是当存有用户密码的文件如果被黑客获取， 对网站的安全和用户的信心来说都是巨大的打击。 如最近的Ebay泄密事件和小米的用户数据泄露事件。 保证用户信息安全首先需要正确理解对于用户密码的安...

admin 11年前 (2014-06-29) 2530浏览 0评论

最近工作需要，需要burpsuite抓下https的包 burpsuite抓包https的时候，如果是https协议，火狐会不信任证书   这个时候点击我已充分了解可能的风险，然后添加例外，弹出图中的对话框 点击查看，进入证书管理企业...

admin 11年前 (2014-06-27) 4229浏览 0评论

生活总是需要一点新的色彩，最近看Mysql基于数据类型溢出的报错注入，又重新燃起了我以前对SQLi的激情。感觉自己还是很喜欢这个东西的。发现凡是 能和“绕过”有关系的（想了想，还真不包括那些硬件DEP ASLR啥的哈，脑子不够用 那个真爱不起）东西我...

admin 11年前 (2014-06-27) 1727浏览 0评论

########################################## # Title ：绕过安全狗上传[3.3 08722] # Team ：08 Security Team # Author ：08安全团队 # 首发 ： 08安全团...