MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.NetFramework进行拒绝服务攻击。关闭NTFS8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说..
分类:
其他好文 时间:
2014-11-05 17:37:46
阅读次数:
401
最近在用python的flask框架写东西,顺便把httponly的作用拿出来说下,主要是防止XSS漏洞攻击。以下hello.py都是用flask写的代码里加入两个cookie值,其中一个带有httponly标签,另一个不带httponly标签。index.html里就是一句简单的XSS测试js代码<html>
<h1>Thispa..
分类:
Web程序 时间:
2014-10-22 16:06:33
阅读次数:
272
XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。XSScrapy的XSS漏洞攻击测试向量将会覆盖Http头中的Referer字段User-Agent字段Cookie表单(包括隐藏表单)URL参数RUL末尾,如www.example.co...
分类:
其他好文 时间:
2014-09-17 11:45:42
阅读次数:
204
vsftpdversion2到2.3.4存在后门漏洞,攻击者可以通过该漏洞获取root权限。这里用backtrack集成的metasploit做测试,metasploit集成了各种各样的漏洞,我们可以在上面利用服务器、个人PC和应用程序的漏洞。开始菜单路径backtrack/Exploitationtools/NetworkExploitationtools/Met..
分类:
Web程序 时间:
2014-09-01 17:58:14
阅读次数:
222
PHP文件包含漏洞利用一、PHP配置在文件包含中的运用文件包含漏洞即 当程序员在包含文件的过程中引入了外部提交的数据参与包含的过程所产生的漏洞,这个漏洞是目前Web攻击中最利用率最高的一个漏洞,攻击者 可以轻松获取服务器的访问权限(即拿到webshell)。而文件包含通常又有本地文件包含(Local...
分类:
Web程序 时间:
2014-08-23 17:43:51
阅读次数:
318
开始
近日,Google修复一个组件安全的漏洞LaunchAnyWhere(Google Bug 7699048)。这个漏洞属于Intend Based提取漏洞,攻击者利用这个漏洞,可以突破了应用间的权限隔离,达到调用任意私有Activity(exported为false)的目的。
该漏洞影响Android 2.3至4.3固件。
漏洞分析
在分析这个漏洞之前,需要先介绍两个东西。
Acc...
分类:
移动开发 时间:
2014-08-22 14:32:38
阅读次数:
347
IIS有十多种常见漏洞,但利用得最多的莫过于Unicode解析错误漏洞。微软IIS 4.0/5.0在Unicode字符解码的实现中存在一个安全漏洞,用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含Unicode字符,它会对它进行解码。如果用户提供一些特殊的编码,将导致IIS错...
分类:
其他好文 时间:
2014-07-18 17:20:17
阅读次数:
258
图注:VirusTotal网站截图 中国经济网北京5月1日讯
5月1日消息,上周六微软通报了XP停服后首个IE
0day漏洞,近日针对该漏洞的攻击样本又被国内安全论坛和在线杀毒扫描平台VirusTotal曝出,根据在线杀毒扫描平台VirusTotal
检测结果显示,截至2014年5月1日晚10点,全...
分类:
其他好文 时间:
2014-05-07 13:37:08
阅读次数:
235
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如
果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情
况进行分析,构.....
分类:
Web程序 时间:
2014-04-29 11:12:46
阅读次数:
500