CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其...
分类:
其他好文 时间:
2014-12-30 13:42:45
阅读次数:
212
##个人的成功 从依赖到独立 * 习惯一:积极主动:对自己的行为负责,理性而非情绪的决策,不作为被动的受害者,而是自强、从内而外改造和把握自身 * 习惯二:以终为始:先定目标和计划,然后实施 * 习惯三:要事第...
分类:
其他好文 时间:
2014-12-08 12:37:54
阅读次数:
198
引入:前面我们分2篇文章分别探讨了来自外部的XSS攻击和来自内部的XSS攻击,现在我们来专门探讨如何防范来自内部的XSS攻击。实践:http://www.cnblogs.com/crazylqy/p/4146740.html 文章中可以看出,主要的攻击手段无外乎是发送了一段恶意脚本到受害者机器上去运...
分类:
其他好文 时间:
2014-12-05 17:03:05
阅读次数:
382
引入:上文中我们的例子是研究了来自内部的XSS攻击,通过输送一段有害js代码到受害者的机器,让其在受害者的域上运行这段有害JS代码来得到入侵目的。现在我们来看下来自外部的XSS攻击。实践:下面还是按照惯例,我用白话文来解释下什么是来自外部的XSS攻击。假设我是攻击者,A是受害者,我知道A有个习惯,他...
分类:
其他好文 时间:
2014-12-05 15:25:51
阅读次数:
247
我把模板的声明写在X.h的文件里,把实现写在X.cpp的文件里然后编译不通过,然人很恼火的是,根本不知道啥原因在某网站上看到了一句 “又是一个模板分离编译的受害者”立马就改正了,于是把两个文件写在了一起没错了然后搜了一下“模板分离”有人说这是个传说有人说这是真的我也不深究这是啥了听人讲这是老版本的编...
分类:
其他好文 时间:
2014-11-25 22:57:54
阅读次数:
190
主要是因为web程序对输入输出过滤不足导致的。攻击者利用xss漏洞把恶意脚本代码(HTML+Javascript)注入到网页中,当用户浏览这些网页时,就会执行恶意代码,对受害者进行攻击,例如盗取Cookie,会话劫持,钓鱼欺骗等各种攻击。2、xss的危害Cookie盗取只要有记住密码功能,盗取coo...
分类:
其他好文 时间:
2014-11-19 00:26:35
阅读次数:
304
昨天晚高峰发生在北京地铁上的一件事情让我心里一直很难受,一个年轻的生命在地铁的两个自动门之间被夹身亡。姑且不论受害者的家属是什么样的一个心情,作为一个普通人,都会觉得非常的惋惜和愤恨。为什么地铁门不止一次的夺走了一条又一条的生命?不要以为这是一个“低概率事..
分类:
其他好文 时间:
2014-11-08 02:13:40
阅读次数:
154
(1):Coremail邮件系统存储型XSS之一给受害者发送主题如下的邮件:当受害者试图打开邮件时,cookie将会被窃取:(2):Coremail邮件系统存储型XSS之二将特制的swf文件作为附件发送给受害者(这里可以选择在过节的时候下手,比如将文件名改称新年贺卡.swf):swf文件的AS代码如...
分类:
其他好文 时间:
2014-10-21 10:13:19
阅读次数:
319
1.读取攻击
读取攻击主要包含所有从受害者哪里获取信息的相关攻击。此类攻击会从获取组织结构的ip地址,在那些地址范围内进行端口扫描和漏洞弱点扫描,最后到入侵有弱点的主机获取信息。
1.侦察(reconnaissance recon)攻击:
侦察(reconnaissance recon)攻击:主要是为使攻击者可以获取更多有关受害者的
信息而设计的,侦察攻击可采用...
分类:
其他好文 时间:
2014-09-30 11:50:59
阅读次数:
282
一种经过对受害者心思缺点、天性反响、好奇心、信赖、贪婪等心思圈套进行比如欺诈、损伤等危害方法。取得本身利益的方法,近年来已成迅 速上升乃至乱用的趋势。那么,啥算是社会工程学呢?它并不能等同于通常的欺诈方法,社会工程学特别杂乱,即使自认为最警觉最当心的人,相同会被高超的社 会工程学方法危害利益。社会工...
分类:
其他好文 时间:
2014-09-27 12:51:29
阅读次数:
317
