admin 12年前 (2014-03-10) 2369浏览 0评论

1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 &...

admin 12年前 (2014-03-10) 1518浏览 0评论

摘要 : 当一个行业巨头体量超1000亿美金时，单一领域不能满足其进一步发展，必然促使巨头向多领域发展。在中国阿里和腾讯被公然为是两个千亿美元市值公司。 腾讯控股今日发布公告宣布， 与京东建立战略合作伙伴关系，在此交易中，京东将收购腾讯B2C平...

admin 12年前 (2014-03-10) 2162浏览 0评论

0x00 简要介绍 CSRF（Cross-site request forgery）跨站请求伪造，由于目标站无token/referer限制，导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式，CSRF利用方式可分为两种。 &nb...

admin 12年前 (2014-03-09) 1850浏览 0评论

最近GSM的话题又被炒了起来，顺便带火了我去年的一篇文章，都是几年前的东西了，重提也没什么意思。因为一直觉得这个话题很敏感，所以也不喜欢说啥，但是最近有人已经在乌云发了，但是有些地方语焉不详。反正都已经公开了，那么我就说细点了。更讨厌的是某些组织长期...

admin 12年前 (2014-03-09) 4260浏览 0评论

HTML5 是下一代的 HTML，HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的，微数据与微格式等方面的支持，构建对程序、对用户都更有价值的数据驱动的Web。基于HTML5开发的网页APP拥有更短的启动时间，更快的联网速度。...

admin 12年前 (2014-03-09) 2208浏览 0评论

  CSRF 背景与介绍 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等...

admin 12年前 (2014-03-09) 2583浏览 0评论

大家都知道通常用csrf来上传一个文件不是很简单的.问题在于我们创建的假的表单提交的数据跟浏览器文件上传提交的数据有一点不同.那就是上传的请求会有一个filename的参数: -----------------------------25667262...

admin 12年前 (2014-03-09) 2292浏览 0评论

0×00 背景 提起浏览器的同源策略，大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写，所以出现了一些hack的方式来跨域。比如在同域内做一个代理，JSON-P等。但这些方式都存在缺陷，无法完美的实现跨域读写。所...

admin 12年前 (2014-03-09) 1656浏览 0评论

0x00 前言 很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http://hk.promotions.yahoo.com上发现的这个漏洞一样，那些临时站点往往成为我们强大安全...

admin 12年前 (2014-03-09) 4227浏览 0评论

mysql 5.1以后提供了内置的XML文件解析和函数，所以这种注入只能用于5.1版本以后 主要涉及两个函数：ExtractValue()和UpdateXML() 首先看这两个函数的使用示例： 先建立一个带XML格式的示例数据库 CREATE TA...

admin 12年前 (2014-03-09) 1497浏览 0评论

摘要 : 这两天微信POS机开始浮出水面，但真相完全还未触及底层，找到一位真正在做微信POS机的深喉，来完整解密微信POS机是怎么回事。 文/国仁(微信:hawkren 公众号:newhard) 这两天微信POS机开始浮出水面，但真相完全还未触及...

admin 12年前 (2014-03-09) 1420浏览 0评论

摘要 : 糯米狙击阿里O2O 百度钱包杀入移动支付 【听杨姐说】​一直在争夺O2O市场的阿里和腾讯似乎已经忘了还有一个强大的对手——百度。​ 尽管糯米在人人网的手里并没有能够被SNS所带动，但看起来百度对于目前的阿里和腾讯的楚汉争霸非常不爽，他决心要...

admin 12年前 (2014-03-09) 1457浏览 0评论

博文作者：XX 发布日期：2014-01-15 阅读次数：2271 博文内容： 引言 大眼系统是腾讯安全平台部从2008年起自主研发DDoS攻击发现系统，经过5年多的发展，已经发展成集DDoS攻击发现，入侵行为发现，基础数据分析于一身的网络流量分析系...

admin 12年前 (2014-03-09) 1600浏览 0评论

腾讯安全零距离之大眼——大型网络流量分析系统   博文作者：BigHy 发布日期：2013-12-06 阅读次数：5495 博文内容：     引言      对 于服务海量用户的互联网公司的安全从业者而言，能够打造出一...

admin 12年前 (2014-03-09) 1919浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

admin 12年前 (2014-03-09) 2716浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

admin 12年前 (2014-03-09) 2606浏览 0评论

网站 <script type="text/javascript" language="JavaScript"> //: 判断网页是否加载完成 document.onreadyst...

admin 12年前 (2014-03-08) 2613浏览 0评论

1.CSRF漏洞的介绍和危害性                                图1-1  csrf漏洞的攻击过程 CSRF（Cross-site request forgery跨站请求伪造）通常缩写为CSRF或者XSRF。CSRF使黑...

admin 12年前 (2014-03-08) 16753浏览 4评论

Mysql在执行语句的时候会抛出异常信息信息，而php+mysql架构的网站往往又将错误代码显示在页面上，这样可以通过构造如下三种方法获取特定数据。 实际测试环境： mysql> show tables; +----------------+...

admin 12年前 (2014-03-07) 2132浏览 0评论

在还没开始W3A Scan以前，从未考虑过插件结构这么个东西。直到想起以后更新功能的各种问题， 我发现应该要考虑插件结构，晚上回家的时候问了下好基友。他说没接触过，但大体明白。。。瞬间就结了。说半天还是没你弄懂。。。 最后还是昨晚自己去搜了下有关的资...