作为一名C++书看得少得可怜的新手,我一直没有勇气去系统地学习一下C++ 11添加的新特性。不过,平日里逛论坛,阅读大犇们的博客,倒是了解了一些。比如,这个帖子:如何绕过g++ 4.8.1那个不能在宏里面使用R"(...)"的bug?看到形如:R"" 这样的写法,相信学过Python的童鞋会感到似曾...
分类:
编程语言 时间:
2014-07-10 10:19:37
阅读次数:
450
1.register_globals=On这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交http://www.sectop.com/ex1.php?is_admin=true,就可以绕过check_admin()的验证当regi...
分类:
Web程序 时间:
2014-06-30 12:07:10
阅读次数:
215
输入数据验证:虽然为方便用户而在客户端层上提供数据验证,但仍必须使用Servlet在服务器层上执行数据验证。客户端验证本身就不安全,因为这些验证可轻易绕过,例如,通过禁用Javascript。一份好的设计通常需要Web应用程序框架,以提供服务器端实用程序例程,从而验证以下内容..
分类:
编程语言 时间:
2014-06-28 06:22:32
阅读次数:
309
当前的SharePoint Online版本是基于SharePoint 2013的,但是很多功能确被阉割掉了。下面主要列出Office 365公共网站被限制的功能,以及可绕过的解决方案:内容类型 & 站点栏 无法网站上的UI创建内容类型,但是可以用SharePoint Designer创建。 ...
分类:
Web程序 时间:
2014-06-27 22:36:13
阅读次数:
266
文件只是验证了$_FILES["file"]["type"]。没有其他地方进行验证。可以修改POST信息中的$_FILES["file"]["type"]文件类型为图片的类型就可绕过。提交POST后,关闭代理,就能发现成功上传了PHP了。
分类:
其他好文 时间:
2014-06-25 14:44:38
阅读次数:
151
Treasure Hunt
大意:在一个矩形区域内,有n条线段,线段的端点是在矩形边上的,有一个特殊点,问从这个点到矩形边的最少经过的线段条数最少的书目,穿越只能在中点穿越。
思路:需要巧妙的转换一下这个问题,因为从一个点到终点不可能“绕过”围墙,只能穿过去,所以门是否开在中点是无所谓的,只要求四周线段中点到终点的线段与墙的最少交点个数即可。更进一步,实际上,只需判断四周围...
分类:
其他好文 时间:
2014-06-24 19:44:38
阅读次数:
196
这篇文章之前的名字叫做:WAF bypass for SQL injection #理论篇,我于6月17日投稿了Freebuf。链接:点击这里现博客恢复,特发此处。 Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过。WAF bypass是一个永恒的话题...
分类:
数据库 时间:
2014-06-23 07:13:25
阅读次数:
255
尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可。浏览器的各种保安措施之间都试图保持相互独立,但是攻击者只要能在出错的地方注入少许JavaScript,所有安全控制几乎全部瓦解——最后还起作用的就是最弱的安全防线:同源策略。同源策略管辖着所有保安措施,然而,由于浏览器及其插件,诸如Acrobat
Read...
分类:
其他好文 时间:
2014-06-22 19:27:53
阅读次数:
164
苹果最近就有用户发现了一个新iOS7系统漏洞,利用这个漏洞绕过密码输入界面,在不知道密码的情况下打开你最近使用的软件。而这个过程只需短短的5秒钟!
经测试,这个漏洞并没那么严重,危害也很有限。
首先需要满足两个条件:
1.有未接来电
2.锁屏的时候是有应用在运行。
并且这个漏洞只可以越权控制最近的一个应用。
操作步骤:
1.开启任意应用,锁屏...
分类:
移动开发 时间:
2014-06-22 18:07:33
阅读次数:
179
上一篇介绍的系统,虽然能防御简单的内联 XSS 代码,但想绕过还是很容易的。由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。昨天提到最简单并且最常见的 XSS 代码,就是加载站外的一个脚本文件。对...
分类:
其他好文 时间:
2014-06-17 20:14:45
阅读次数:
167
