第5章点击劫持(clickjacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常..
分类:
Web程序 时间:
2016-10-09 00:48:11
阅读次数:
175
显然的威胁 telnet FTP http MYSQL不要使用telnet FTP,他们使用明文传输用户名和密码;而使用SFTP,它基本是SSH上的FTP,更安全。防止SQL注入攻击:mysql_real_escape_string函数,能免受某些攻击。HTTP: session劫持 fireshi... ...
分类:
Web程序 时间:
2016-10-04 20:46:30
阅读次数:
303
1.事件截获原理 利用事件的捕获阶段,添加事件。 再利用触发事件元素(e.target)来判断(根据一定的标识或者某些特征)是否是我们需要劫持的dom。 2.具体拦截 这里使用id作为一个判断根据,真实场景中肯定不是这样的。 这里的特征是需要根据一定的规则去寻找的。(这里只是为了演示原理) 当我们点 ...
分类:
其他好文 时间:
2016-10-03 19:18:14
阅读次数:
111
1. Cookie是什么? 2. 窃取的原理是什么? 3. 系统如何防Cookie劫持呢? 看完这三个回答, 你就明白哪位传奇大侠是如何成功的!!! Cookie: HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包含了浏览器客户端的用户凭 ...
分类:
Web程序 时间:
2016-10-02 00:26:49
阅读次数:
118
0x1:实验背景 看到国外一篇文章,大致描述如下: 根据描述我们可以知道skype存在dll劫持漏洞,在试验中需要劫持的dll为RtmCodecs.dll,接下来我们开始试验。 0x2: dll劫持原理 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从 ...
分类:
其他好文 时间:
2016-09-30 18:22:30
阅读次数:
196
? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 { "name": "XiaoChaJian", "version": "1.0", "manifest_version": 2, "author":"VIP", "icons": { "128": "icon.png" } ...
分类:
Web程序 时间:
2016-09-30 15:17:37
阅读次数:
2399
ISP的劫持手段真是花样百出,从以前的DNS(污染)劫持到后来的共享检测,无不通过劫持正常的请求来达到他们的目的。 之前分析过通过劫持HTTP会话,插入iframe来检测用户后端有无共享行为,但后来移动终端的发展导致ISP开始有所收敛,因为即使检测出来也不敢断用户的网了。 可是现在又出了新的花样…… ...
分类:
移动开发 时间:
2016-09-26 18:00:17
阅读次数:
222
DNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它所提供的服务是用来将主机名和域名转换为IP地址的工作。 一. 根域 就是所谓的“.”,其实我们的网址www.baidu.com在配置当中应该是www. ...
分类:
其他好文 时间:
2016-09-26 12:46:38
阅读次数:
119
我决定写一篇关于我在Windows7下攻破有DEP和ASLR保护的IE8浏览器的技术文章。 整个利用过程分为两大步骤 第一步是找出一个确定的dll文件的加载基地址,然后在第二步中会使用到第一步中得到信息来使用一些ret2libc技术去bypass DEP,然后劫持流程去执行shellcode。 ...
内容:1、openssh的介绍和使用 (1)sshd的服务端配置 (2)基于密钥登陆ssh的使用 (3)scp的使用 (4)rsync的使用2、sudo的介绍和配置使用一、openssh OpenSSH与SSH协议是远程登录的首选连接工具。它加密所有流量,以消除窃听,连接劫持和其它攻击。OpenSSH的套件包括以下工具: 远..
分类:
系统相关 时间:
2016-09-22 18:12:31
阅读次数:
547
