这套题思考的难度比较大,应该说是有四题基础题,一题比较复杂的搜索加模拟,还有一题需要深度思考一下。自己的代码漏洞还是很大,而且思考的时候会遗漏一些情况,这些错误都是致命的,去年Noip的惨败也证实了这一点,许多时候,我并没有败在算法上,而是细节与心态上。记住犯过的错误,尽力不在同一个地方摔倒,那.....
分类:
其他好文 时间:
2014-07-22 22:55:17
阅读次数:
186
一些安全软件出于安全考虑,会把安全模块注入到IE,Office等软件里面,而很多注入模块里面使用Detours库对系统API进行Hook操作,Detours库进行Hook操作时(DetourAttachEx函数)会将相关模块的PE头(具体是DosHeader,不可写段)修改为可写可读可执行,然后写入一些特殊数据,但是后面没有修改成原始属性。这样就会破坏这些模块的段属性,造成一些其它漏洞利用时降低了绕过DEP的难度。...
分类:
其他好文 时间:
2014-07-18 22:20:38
阅读次数:
335
http://bbs.aliyun.com/read/137391.html "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)",);$args_arr = array( 'xs...
分类:
数据库 时间:
2014-07-16 18:34:05
阅读次数:
566
Discuz树大招风已成常态,不过对于其他整站程序何尝不是如此?是否曾记得大明湖畔的PHPCMS和DEDCMS万人破的场景,流行整站程序最重要的还是漏洞的快速响应。0x01 漏洞成因: 在《高级PHP应用程序漏洞审核技术》一文里的"魔术引号带来的新的安全问题"一节里,有提到通过提取魔术引号产生...
分类:
数据库 时间:
2014-07-16 18:31:12
阅读次数:
317
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者...
分类:
Web程序 时间:
2014-07-14 09:29:12
阅读次数:
287
本文主要介绍针对PHP网站的SQL注入攻击。所谓的SQL注入攻击,即一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。SQL注入攻击(SQL Injection),是攻击者在表单中提交...
分类:
数据库 时间:
2014-07-14 09:27:56
阅读次数:
293
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval...
分类:
Web程序 时间:
2014-07-14 09:22:12
阅读次数:
308
什么是上传漏洞?我的理解是由于程序员未对上传的文件作过滤或者过滤机制不严格,导致恶意用户可以上传动态脚本页面,从而通过上传的这张脚本页面达到控制网站权限的目的。我们简单来说下什么叫做过滤机制不严格:比如一个网站只支持ASP脚本,在上传功能中程序员对此的过滤策略是“取得客户端文件名中最后一位小数点后的...
分类:
其他好文 时间:
2014-07-13 20:48:14
阅读次数:
290
简单列一下不同协议,序列化方式等的考虑。
http还是私有协议?
http协议优/缺点:
在服务器端只需要提供一份接口,浏览器和app共用。在app中嵌入web view也很容易。
http协议的相关工具非常多。开发人员很方便 。比如负载均衡,直接nginx搞定。
比如统计一个接口的调用次数,相当的方便,有现在的分析工具。
压力测试也很方便。
http协议可能http服务器有漏洞...
分类:
移动开发 时间:
2014-07-13 17:23:01
阅读次数:
253
