关于SSL POODLE漏洞 POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击, ...
分类:
其他好文 时间:
2017-08-21 13:30:48
阅读次数:
215
在刚刚结束的BlackHat2017黑帽大会上,最佳客户端安全漏洞奖颁给了CVE-2017-0199漏洞,这个漏洞是Office系列办公软件中的一个逻辑漏洞,和常规的内存破坏型漏洞不同,这类漏洞无需复杂的利用手法,直接就可以在office文档中运行任意的恶意脚本,使用起来稳定可靠,故而非常适合于漏洞 ...
分类:
其他好文 时间:
2017-08-17 23:38:25
阅读次数:
463
1、cookies 登录信息记录; cookies记录登录信息有两种方式: 客户端记录登录的信息,过期时间,用户ID等,然后对信息进行签名; 优点:实现简单,分担了服务器的压力; 缺点:签名的过程,容易导致安全漏洞,(忘记签名),服务器分析用户行为不方便; token方式,cookies记录一串随机 ...
分类:
Web程序 时间:
2017-08-17 00:51:44
阅读次数:
217
概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 项目环境 spring + struts2 ...
分类:
其他好文 时间:
2017-08-16 17:22:44
阅读次数:
132
重点,事务,索引: --常见的安全问题: sql注入:用户输入不合法 通过攻击服务器的安全漏洞窃取数据库 一种常见的方式 在黑市上可以买到数据库信息 装库,利用从别处叨叨的用户名和密码,尝试在另外一个站点上登录,从而得到更多 信息 安全建议: 1.对数据库设计的建议:在表中存储加密后的密码数据,常见 ...
分类:
其他好文 时间:
2017-08-16 00:49:02
阅读次数:
260
近日,国家信息安全漏洞共享平台(CNVD)收录了OpenSSH的多个漏洞(CNVD-2016-12688、CNVD-2016-12687、CNVD-2016-12686、CNVD-2016-12684,对应CVE-2016-10009、CVE-2016-10010、CVE-2016-10011、CVE-2016-10012)。综合利用上述漏洞,攻击者可执行任意代码,提升权限至root权..
分类:
其他好文 时间:
2017-08-15 22:56:09
阅读次数:
299
看雪:http://bbs.pediy.com 乌云漏洞:http://www.wooyun.org Freebuf:http://www.freebuf.com/ STACKOVERFLOW:http://stackoverflow.com CVE漏洞:http://cve.mitre.org C ...
分类:
Web程序 时间:
2017-08-13 16:20:57
阅读次数:
164
近来对Adobe Flash来说真是段难过的日子。Hacking Team公司外泄的440GB电子邮件数据已成为黑客挖掘安全漏洞的宝藏。光是Flash就被发现了三个不同的漏洞: l CVE-2015-5119 l CVE-2015-5122 l CVE-2015-5123 Flash一直是信息安全的 ...
分类:
其他好文 时间:
2017-08-13 12:24:33
阅读次数:
123
网络安全问题得到的启示 黑客技术的出现像计算机出现一样长久,黑客通过对系统重配置或者重编程获得本来没有的权限。早期的黑客因为对计算机的神秘功能着迷,本着自由的精神在计算机世界里流连而不能自拔。这种自由精神一方面吸引了大批聪明的青年学生投入其中,从而在早期推动了计算机的飞速发展。 在上世纪六十年代,他 ...
分类:
其他好文 时间:
2017-08-10 23:51:05
阅读次数:
224
今天测试用IBM的AppScan,对系统进行测试,发现了系统的安全漏洞,分别是SQL盲注和跨站脚本攻击,这两种安全隐患都是利用参数传递的漏洞趁机对系统进行攻击。截图如下: 解决方案(参考网上的例子):自己写一个 Filter,使用 Filter 来过滤浏览器发出的请求。对每个 post 请求的参数过 ...
分类:
数据库 时间:
2017-08-10 14:15:35
阅读次数:
1664
