项目与思路

admin 12年前 (2014-03-11) 2453浏览 0评论

近一段时间针对路由器的劫持事件层出不穷，大到某宝，小到无名站点，都被人挂上了dns劫持的代码用以钓鱼或广告推广。而路由器dns劫持的本质就是弱密码配合路由器的csrf漏洞的共同利用。利用的条件十分简单：不需要目标站点存在漏洞，只要能够插入图片等任何多...

admin 12年前 (2014-03-10) 1897浏览 0评论

有时候做程序，喜欢把程序的注册与用户QQ号码绑定，程序仅允许登录成功了指定QQ账号时才可使用， 为了实现这个目的，有人用API取QQ窗口、QQ托盘图标上的QQ账号， 但是这个方法写起来比较麻烦，如果用户有意玩玩的话，也可以自己在你软件获取之前先用AP...

admin 12年前 (2014-03-10) 1618浏览 0评论

在网上逛发现商城上，有提供QQ在线服务。点击在线QQ就可以生成临时会话，引起了我的兴趣，于是就研究了一下，写了个测试页面test.html。（神气了一把，不过网上早就有很多了！） test.html代码如下： <html> ...

admin 12年前 (2014-03-10) 1967浏览 0评论

在网上逛发现商城上，有提供QQ在线服务。点击在线QQ就可以生成临时会话，引起了我的兴趣，于是就研究了一下，写了个测试页面test.html。（神气了一把，不过网上早就有很多了！） test.html代码如下： <html> ...

admin 12年前 (2014-03-10) 1700浏览 0评论

在 QQ 已经登录的情况下，手动输入网址打开 QQ 邮箱 或者 QQ 空间 等腾讯网站，可以看到网页已经检测到本地 QQ 客户端已经登录，于是用户可以很方便地一键登录网站而不必再输入用户名密码。这实际上是典型的异构系统单点登录 SSO（single-...

admin 12年前 (2014-03-10) 4999浏览 2评论

数据抓取的艺术（一）：Selenium+Phantomjs数据抓取环境配置 数据抓取是一门艺术，和其他 软件不同，世界上不存在完美的、一致的、通用的抓取工具。为了不同的目的，需要定制不同的代码。不过，我们不必Start from Scratch，已经...

admin 12年前 (2014-03-10) 2778浏览 0评论

PhantomJS is a headless Webkit, which has a number of uses. In this example, we will be using it, in conjunction with Seleniu...

admin 12年前 (2014-03-10) 2097浏览 0评论

1. phantomjs介绍 基于Javascript驱动的命令行webkit引擎，轻量级，安装简单，开发快速，渲染速度较快，无界面的webkit浏览器。 phontomjs跟一般浏览器一样可以加载网页，但不同的是它不会把网页显示出来，在加载网页后...

admin 12年前 (2014-03-09) 1934浏览 0评论

最近GSM的话题又被炒了起来，顺便带火了我去年的一篇文章，都是几年前的东西了，重提也没什么意思。因为一直觉得这个话题很敏感，所以也不喜欢说啥，但是最近有人已经在乌云发了，但是有些地方语焉不详。反正都已经公开了，那么我就说细点了。更讨厌的是某些组织长期...

admin 12年前 (2014-03-09) 1691浏览 0评论

腾讯安全零距离之大眼——大型网络流量分析系统   博文作者：BigHy 发布日期：2013-12-06 阅读次数：5495 博文内容：     引言      对 于服务海量用户的互联网公司的安全从业者而言，能够打造出一...

admin 12年前 (2014-03-09) 2801浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

admin 12年前 (2014-03-09) 2027浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

admin 12年前 (2014-03-08) 2738浏览 0评论

1.CSRF漏洞的介绍和危害性                                图1-1  csrf漏洞的攻击过程 CSRF（Cross-site request forgery跨站请求伪造）通常缩写为CSRF或者XSRF。CSRF使黑...

admin 12年前 (2014-03-07) 2224浏览 0评论

在还没开始W3A Scan以前，从未考虑过插件结构这么个东西。直到想起以后更新功能的各种问题， 我发现应该要考虑插件结构，晚上回家的时候问了下好基友。他说没接触过，但大体明白。。。瞬间就结了。说半天还是没你弄懂。。。 最后还是昨晚自己去搜了下有关的资...

admin 12年前 (2014-03-07) 1651浏览 0评论

Casey问我：“对于新手，有什么有针对性的诀窍来阅读大型代码库吗？” 碰巧，我认为这是一个非常好的问题。我觉得想要成为一个优秀的开发者，阅读代码库并弄清清楚内部是怎么回事的能力非常重要。在你的职业生涯中你会中途加入一个现有的项目并被要求迅速融入进去...

admin 12年前 (2014-03-05) 2413浏览 0评论

摘要：不顾谷歌CEO阻拦，WhatsApp最终以190亿美元的价格花落Facebook。能获如此天价与其月4.5亿的活跃用户是分不开的，同样不可或缺的还有支撑每日数百亿消息的高可靠架构。 【编者按】以190亿美元的价格出售给Facebook，交易谈判...

admin 12年前 (2014-02-18) 3042浏览 0评论

今天需要修改程序里的数据内容，本来很简单只用改config配置文件就可以了，数据是写在那里面的，结果那个程序作了保护，一旦修改 config，就会报“文件遭到破坏，请于管理员联系！”。心想这下糟了，又没有源码，这怎么改啊。想起之前做项目的时候有人反汇...

admin 12年前 (2014-02-12) 8711浏览 2评论

Here’s a challenge, root this box. We found a vulnerable machine named Hackademic RTB1. The main challlenge is to root the bo...

admin 12年前 (2014-02-10) 1585浏览 0评论

这不是一篇介绍介绍技术的文章，只是一种开放思维的尝试。主要着重于当遇到输入过滤的情况下，如何找到可以利用的输入点。 本质上来说如果要进行xss攻击，只要找到一个未过滤的输入点。输入的数据在支持脚本的软件（不仅限于浏览器）里解析就可以了。sqli也是...

admin 13年前 (2014-01-21) 2233浏览 0评论

转自：http://www.bugsec.org/447.html 0x00 前言 在渗透测试和安全扫描工作中，发现越来越多站点部署了应用防护系统或异常流量监控系统，其中包括：WEB应用防火墙（软件WAF、硬件WAF、云 WAF）、入侵检测系统、入...