工作

admin 11年前 (2014-05-25) 2455浏览 0评论

相信只要是从事软件开发， 多多少少都会涉及到数据包的抓取。常见的有网页数据抓取（即网页爬虫），应用程序数据包抓取等。网页数据抓取比较简单， 在chrome下可以非常方便的分析网页结构和数据请求；而应用程序数据包的抓取则相对复杂些， 通常需要配置代理...

admin 11年前 (2014-05-25) 2313浏览 0评论

自己并不擅长xss，作为抛砖引玉的一篇总结文章，分享一下自己的见解，其实写出来感觉很惶恐。都是之前看M写的一些文章学到的姿势，在这里跪谢。 我这里的绕过侧重于白盒审计，所以不用各种测试测试很久，只用根据源码中的fliter规则写出合适的exp。 后端...

admin 11年前 (2014-05-25) 1932浏览 0评论

在 以前，可能就许多互联网厂商来说，对于漏洞都没有一个直观的认识，更别说普通的网民了。今年以来，包括这次的OpenSSL或者上次的携程、支付宝等爆出 的漏洞，不管是厂商还是组件，都让大家对漏洞有了进一步的认识。从去年到今年以来，各种SRC遍地开花，...

admin 11年前 (2014-05-24) 2413浏览 0评论

HTTPS那些事（一）HTTPS原理 楔子 谣言粉碎机前些日子发布的《用公共WiFi上网会危害银行账户安全吗？》， 文中介绍了在使用HTTPS进行网络加密传输的一些情况，从回复来看，争议还是有的。随着网络越来越普及，应用越来越广泛，一些网络安全问题...

admin 11年前 (2014-05-24) 3869浏览 0评论

看到一篇文章《解开人人网登录密码的 RSA 加密》，文章中提到人人网为了避免密码的明文传输，使用了纯javascript实现的RSA库来对用户的密码进行加密传输。该javascript实现的RSA库的主页是：http://www.ohdave.com...

admin 11年前 (2014-05-18) 1901浏览 0评论

有段时间没写东西了， 最近看到zone里出现了很多“XSS怎么绕过某某符号的帖子”，觉得很多新手在寻找XSS时走进了一些误区，比如：专门想着怎么去“绕过”。这里做个总结，希望对大家有所帮助。 1. 误区1： XSS，不是专门去“绕过”限制。 打个简单...

admin 11年前 (2014-05-18) 2350浏览 0评论

目录 0x00:基本介绍 0x01:html实体编码 0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理！ 0x03:javascript编码 0x04:base64编码 0x05:闲扯   0x00基本介绍 提...

admin 11年前 (2014-05-17) 5399浏览 0评论

英文原文：Parallelism in one line Python的并发处理能力臭名昭著。先撇开线程以及GIL方面的问题不说，我觉得多线程问题的根源不在技术上而在于理念。大部分关于Pyhon线程和多进程的资料虽然都很不错，但却过于细节。这些资料...

admin 11年前 (2014-05-17) 1810浏览 0评论

Contents 1 单点登录 2 淘宝网的单点登录策略 3 京东商城单点登录策略 单点登录 单点登录（Single sign-on，SSO）是一种访问控制，在多个软件应用中，用户只需登录其中一个应用，就可以成功访问其他应用；同样，用户只需...

admin 11年前 (2014-05-17) 3043浏览 1评论

JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中，有一个很重要的安全性限制，被称为“Same- Origin Policy”（同源策略）。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限...

admin 11年前 (2014-05-16) 2031浏览 0评论

我的朋友海滨问我mysql在建表的时候int类型后的长度代表什么? 是该列允许存储值的最大宽度吗? 为什么我设置成int(1), 也一样能存10,100,1000呢. 当时我虽然知道int(1),这个长度1并不代表允许存储的宽度,但却没有一个合理的解...

admin 11年前 (2014-05-11) 2240浏览 0评论

网络攻防是发生在第五空间的对抗和战争。这是一个动态的过程，无论攻击者还是防御者都在实战中寻求进步。攻防双方的“兵器”就在这个战场中不断磨砺和进化。绿盟科技关注攻防的最新进展，为了帮助客户更好的对抗网络威胁，每个季度会推出最新的“DDoS兵器谱” ，介...

admin 11年前 (2014-05-06) 3182浏览 1评论

HTML 5以前的标准由于考虑到浏览器安全问题并不允许直接跨域通信，于是为了达到跨域通信的目的各种蛋疼的解决办法出现了，常用的有：jsonp、使用代理文 件、地址栏hash等等，这些办法的出现在达到解决跨域问题的同时，也增加了前端页面的性能开销和维护...

admin 11年前 (2014-05-06) 2618浏览 0评论

DNS的查询过程是指在客户端通过DNS服务器将一个IP地址转换为一个FQDN（Fully Qualified Domain Name，完全合格的域名），或将一个FQDN转化为一个IP地址，或查询一个区域的邮件服务器的过程。 DNS查询分类 1）按查...

admin 11年前 (2014-05-04) 2956浏览 0评论

权威的安全组织OWASP 2013更新了Top 10：https://www.owasp.org/index.php/Top_10_2013-Top_10 十大安全漏洞分别是： 1. 注入，包括SQL、操作系统和LDAP注入。 2. 有问题的鉴别与会...

admin 11年前 (2014-05-04) 2980浏览 0评论

MySQL数据库的认证密码有两种方式， MySQL 4.1版本之前是MySQL323加密，MySQL 4.1和之后的版本都是MySQLSHA1加密， MySQL数据库中自带Old_Password（str）和Password（str）函数，它们均可以...

admin 11年前 (2014-05-03) 3166浏览 0评论

目录 0x00         前言 0x01         CSP概念 0x02         CSP发展时间轴 0x03         CSP语法 0x04         CSP默认特性 0x05         CSP例子 0x06  ...

admin 11年前 (2014-04-30) 53105浏览 8评论

目前网络上开源的web指纹识别程序很多，如Wapplyzer,BlindElephant，plecost，w3af,whatweb, wpscan, joomscan等等，基本都是国外的，使用的时候因各方面因素会有一些限制，在某些特定环境下需要自己...

admin 11年前 (2014-04-28) 3782浏览 1评论

0×00 前言 上传webshell后，执行命令时或许没法执行了，这时我们该分析下原理并想出绕过方式，防守方也必须根据绕过方式想想更强的防御. 0×01 php webshell执行命令原理 php webshell（以下简称webshell)下是怎...

admin 11年前 (2014-04-26) 2157浏览 0评论

原文出处： webappsecuritylab 前言 本文将会着重介绍防御XSS攻击的一些原则，需要读者对于XSS有所了解，至少知道XSS漏洞的基本原理，如果您对此不是特别清楚，请参考这两篇文章：《Stored and Reflected XSS A...