2014年5月,出现了三个安全众测服务平台:乌云众测、Sobug、Freebuf漏洞盒子。服务模式基本一致:厂商发布安全测试项目,挑选白帽子进行测试,按照发现的漏洞其风险等级付费。这种模式解决了2个问题:1.授权问题:白帽子可以在客户的授权下进行测试,没有法律风险,白帽子对测试结果保密;2.白帽子收...
分类:
其他好文 时间:
2014-06-03 11:24:17
阅读次数:
218
这是一个很老的漏洞了。最近学习代码审计在乌云上看到的,作者只给了部分分析,和利用的exp。0x1代码分析漏洞出现在flow.php在flow.php的372行有如下代码{
/* * 保存收货人信息 */ $consignee = array...
分类:
其他好文 时间:
2014-06-02 11:55:25
阅读次数:
350
Format String 格式化串漏洞考虑如下的代码:1 #include2 int
main()3 {4 int a=44,b=77;5 printf("a=%d, b=%d\n",a,b);6 printf("a=%d, b=%d\n");7
return 0;...
分类:
数据库 时间:
2014-06-02 05:49:54
阅读次数:
482
先进的移动设备具有各种奇妙的功能,从长远来看可以节省大量的时间和金钱。但这些设备真是太新了,所以他们具有"不可预料的弱点和保护不当的价值。" 手机方面,恶意软件大约99%的目标是针对Android的,而Java编程语言里的漏洞被人利用的机会最高。...
分类:
移动开发 时间:
2014-05-31 22:05:21
阅读次数:
340
Off by One根据 Halvar Flake 在“Third Generation
Exploitation”中的描述,漏洞利用技术依攻击难度从小到大分为三类:1. 基础的栈溢出利用,可以利用返回地址轻松劫持进程,植入 shellcode,如对
strcpy、strcat 等函数的攻击。2. ...
分类:
编程语言 时间:
2014-05-30 22:16:39
阅读次数:
399
2014.04.11 22:19:51来源:南方日报作者:南方日报(2条评论)
http://www.techweb.com.cn/internet/2014-04-11/2027049.shtml昨日,被称为“心脏出血”的OpenSSL协议安全漏洞引发了人们对网上支付的担忧。传言称,这个漏洞“波及...
分类:
Web程序 时间:
2014-05-30 18:41:48
阅读次数:
422
Heartbleed错误是一个严重的漏洞。这个弱点可以窃取信息,在正常情况下,由SSL /
TLS加密保护互联网。Heartbleed错误允许任何人在互联网上阅读系统的内存保护脆弱的OpenSSL的软件版本。这种妥协密钥用于识别服务提供者和加密流量,用户名和密码的和实际的内容。这允许攻击者窃听通信、...
分类:
其他好文 时间:
2014-05-30 08:26:51
阅读次数:
251
目录1. 文件包含的基本概念2. LFI(Local File Include)3.
RFI(Remote File Include)4. PHP中的封装协议(伪协议)、PHP的流式文件操作模式所带来的问题1.
文件包含的基本概念严格来说,文件包含漏洞是"代码注入"的一种。"代码注入"这种攻击,其原...
分类:
Web程序 时间:
2014-05-30 00:15:52
阅读次数:
626
? 创建和管理数据库用户帐户:– 验证用户–
分配默认存储区(表空间)1、数据库用户帐户要访问数据库,用户必须指定有效的数据库用户帐户,而且还要根据该用户帐户的要求成功通过验证。每个数据库用户都有一个唯一的数据库帐户。Oracle
建议采用这种做法,从而避免潜在的安全漏洞,并为特定的审计活动提供有意...
分类:
数据库 时间:
2014-05-29 17:39:07
阅读次数:
331
