CSRF(Cross-site request
forgery),中文名称:跨站请求伪造,也被称为:one click attack/session
riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞,也是一大刷分利器。有关CSRF的具体利用,CEO早在 08年就...
分类:
其他好文 时间:
2014-05-16 04:30:14
阅读次数:
410
注:本文仅限技术研究,探讨,测试使用
2014年4月29日爆出的struts的可操纵classLoader的漏洞, 横跨struts1和struts2的所有版本。 影响面和问题的严重性几乎可以和heartbleed相媲美。 struts2要严重一些,对于struts1,只是说在特定条件下可执行特殊操作。
因为项目中用的是struts1,所以主要精力集中在struts1上。既然要修复漏洞...
分类:
其他好文 时间:
2014-05-15 19:52:36
阅读次数:
289
随着App应用呈现出“乱花渐欲迷人眼”的景况,外界对于谷歌和苹果严格审核监管自家应用商店内容的呼声越来越大。4月9日,有消息称,谷歌应用商店再现“造假应用”:一款名为Virus Shield的收费类手机安全助手,实际仅包含几行毫无用处的Java代码。http://www.ijiami.cn/
“造假”应用和垃圾应用已经困扰Android和IOS系统很多年,例如我们所知的Virus Shiel...
分类:
移动开发 时间:
2014-05-15 12:14:00
阅读次数:
482
页面布局,或者是在页面上做些小效果的时候经常会用到 display,position和float 属性,如果对它们不是很了解的话,很容易出现一些莫名其妙的效果,痛定思痛读了《CSS Mastery》后总结一下。
让我们从基础的CSS知识谈起,相信很多初学者和小弟一样不明白CSS原理,一味追求效果,结果页面漏洞百出,错误匪夷所思,关于盒模型我就不多说了,网上很多,注意一下IE和其他浏览器(W3...
分类:
Web程序 时间:
2014-05-15 04:50:27
阅读次数:
572
注入:之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码鸡肋1: 具有破坏性
动作非常大 重新写了配置文件 数据库连接文件鸡肋2: 有一定安全常识的站长都会删掉 install 目录虽然鸡肋 但也有优点 : 不受
magic_quotes_gpc 、 webserver 影响
分类:
Web程序 时间:
2014-05-14 22:39:18
阅读次数:
600
大家好,我们是微软大中华区安全支持团队。微软于北京时间2014年5月14日发布了8个新的安全公告,其中 2个为严重等级,其余6个为重要等级,共修复.NET Framework,Office, SharePoint, Internet Explorer, 和 Windows中的13个漏洞。请优先部署公告MS14-024, MS14-025 和 MS14-029。同时微软还发布了三个新的安全通报安...
分类:
其他好文 时间:
2014-05-14 20:32:13
阅读次数:
352
OpenSSL Security Advisory [07 Apr
2014]========================================TLS heartbeat read overrun
(CVE-2014-0160)=============================...
分类:
其他好文 时间:
2014-05-14 18:07:34
阅读次数:
1036
他是全球发现苹果漏洞最多的人,他曾穷的住在小黑屋,他经常接到国家安全部门的电话,他差点堵住周鸿祎的路,他是谁?无名英雄我们最终还是没有见到吴石本人,即便他的生意合伙人刘盛(化名)已经应承了帮我们牵线。自打2010年他接受了《福布斯》的专访之后,这个四川男人就再也不愿意让自己曝光。那篇文章其实还算中肯...
分类:
移动开发 时间:
2014-05-14 13:48:58
阅读次数:
386
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1.
输入验证客户端验证
服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限...
分类:
Web程序 时间:
2014-05-13 18:53:48
阅读次数:
477
软考中关于病毒的考查很多,我总结了一些病毒的基本知识,并把近几年的考题分析了一下,共所有备考的童鞋们参考~~
【2011年 11月真题
7】
利用( 7)可以获取某FTP服务器中是否存在可写目录的信息。
(7)A.
防火墙系统 B.漏洞扫描系统
C. 入侵检测系统 D.
病毒防御系统
分析:
漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序。安全漏洞通常指硬件...
分类:
其他好文 时间:
2014-05-13 06:57:20
阅读次数:
408
