转自呆子不开口在wooyun知识库的文章 0x00 前言 这篇文章主要讲目前互联网上get方法被不规范使用带来的一些安全漏洞。其中重点会讲get请求在账号登陆体系中被滥用的场景和攻击方式。 0x01 Get方法的定义 在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST ...
分类:
其他好文 时间:
2016-08-19 23:57:01
阅读次数:
236
中文翻译: from wooyun'drops 0x00 前言 这又是一篇来自全职赏金猎人Masato kinugawa的神作。一次双杀,用一篇报告拿下了两个CVE,分别是CVE-2015-6144和CVE-2015-6176。报告内容指出IE的XSS Filter在对XSS攻击进行屏蔽时,由于正则 ...
分类:
其他好文 时间:
2016-08-17 12:07:43
阅读次数:
166
from wooyun//五道口杀气 · 2014/01/02 19:16 0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分,前面有根据 ...
分类:
其他好文 时间:
2016-08-17 11:59:54
阅读次数:
140
//转自isno在wooyun知识库所写 题记:这是09年自己写的总结文章,之后多年也不搞这个了,技术显然是过时了,但我觉得思路还是有用的,算抛砖引玉吧,各位见笑 0x00 前言 这是一篇学习总结,首先对几位未曾谋面也不知道名字的老师表示感谢,通过对你们大作的学习,使我逐渐入门开始跨入XSSer的行 ...
分类:
其他好文 时间:
2016-08-17 08:59:45
阅读次数:
338
近日,听闻著名漏洞报告平台乌云网(http://www.wooyun.org/)被迫停摆,多名高管被抓,网站也贴出“服务升级”公告,暂时无法访问。我与乌云网的几位创始人也有过几次接触,也算从事过互联网安全行业,虽然仍是个门外汉,也希望能够借此聊一下我对互联网安全行业的一些思考和观感。 我真正开始接触 ...
分类:
其他好文 时间:
2016-08-01 10:27:12
阅读次数:
170
1、安卓app逆向与安全防护: 预先了解一些关于密码学、硬件结构、侧信道和故障注入攻击的基本知识 主要侧重协议逆向与安全市场状况(列举wooyun或者一些比较大的安全事件简介,说明协议安全重要性)逆向分析工具与使用(逆向工具的使用、逆向开发环境搭建)协议分析技术(dex、so逆向技巧、网络协议分析技 ...
分类:
其他好文 时间:
2016-07-19 09:40:52
阅读次数:
139
一.Xcode7,iOS9之后传出来的什么Xcode有鬼,被植入代码片段什么的,可以看看,了解一下http://drops.wooyun.org/news/8864 二.bitcode问题--未正确设置可能导致编译问题。适配iOS9 1、大部分社交平台接口不支持https协议。 问题描述:在iOS9 ...
分类:
其他好文 时间:
2016-07-14 03:09:21
阅读次数:
192
每天早上会逛一下乌云和zone,但到了如下帖子:http://zone.wooyun.org/content/28086 docker搭建pocscan,正好最近准备需要学习这方面,所以今天尝试搭建了docker,安装pocscan的作者的方法搭建扫描器,我是用在阿里云的服务器搭建的: 内核版本参考 ...
分类:
其他好文 时间:
2016-07-06 18:22:32
阅读次数:
142
个人总结,可能片面或不正确 样本来自WooYun网站,截止15年12月19号,一共75650个漏洞; 一、Top10安全漏洞中,sql注入占1/3;可见如果你是sql注入方面的测试专家,web安全1/3的天下是你的 二、从2010年到2015年12月,移动app安全问题总共1149个,设计缺陷/逻辑 ...
分类:
移动开发 时间:
2016-06-27 19:56:50
阅读次数:
290
近期研究业界安卓APP主要漏洞类型。wooyun算是国内最有名的漏洞报告平台,总结一下这上面的漏洞数据对后面测试与分析漏洞趋势有指导意义,因此写一个爬虫。 不再造轮子了,使用Python的Scrapy框架实现之。 一、安装 64位系统安装时,一定要注意Python的位数与Scrapy及其依赖库位数一 ...
分类:
编程语言 时间:
2016-06-27 19:50:11
阅读次数:
229
