Chapter2浏览器安全2.1同源策略浏览器的同源策略,限制了来自不同源的“documuent”或脚本,对当前“documuent”读取或设置属性。影响“源”的因素有:host(域名或ip,ip看作根域名),子域名,端口,协议2.2浏览器沙箱挂马:在网页中插入恶意代码,利用浏览器漏洞执行任意代码。...
分类:
Web程序 时间:
2014-08-29 10:42:47
阅读次数:
258
Content Security Policy(CSP)简介
传统的web安全应该主要是同源策略(same origin policy)。A网站的代码不能访问B网站的数据,每个域都和其他的域相互隔离,给开发者营造了一个安全沙箱。理论上这是非常聪明的做法,但是实际执行过程中,攻击者使用了各种高招可以推翻这套保护。
XSS攻击者把恶意代码注入在网站常规数据里,这样就可以绕过浏览器的...
分类:
其他好文 时间:
2014-08-18 23:35:03
阅读次数:
362
恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。按传播方式,恶意代码可以分成四类:病毒,木马,蠕虫和移动代码。
一、病毒
病毒一般都具有自我复制的功能,同时,它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中...
分类:
数据库 时间:
2014-08-18 10:55:23
阅读次数:
175
恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典)【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著 《恶意代码分析实战》是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意...
分类:
其他好文 时间:
2014-08-14 23:14:16
阅读次数:
640
Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码。Struts?2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。? 描述 影响...
分类:
其他好文 时间:
2014-07-28 16:56:24
阅读次数:
333
近日在加州举行的移动安全技术大会上,Syracuse大学的研究者的研究报告显示HTML5移动应用可能会给企业带来新的安全风险。开发者的错误可能导致HTML5应用自动执行攻击者通过Wifi蓝牙或短信发送的恶意代码。
分类:
移动开发 时间:
2014-07-22 22:55:55
阅读次数:
197
2013年手游行业的规模与收入均实现了大幅增长,发展势头强劲。然而,在手游快速发展的同一时候,因为监管、审核等方面存在着漏洞,手机游戏软件被破解后注入恶意代码、盗取用户財产、窃取用户设备信息的现象屡见不鲜。手游被破解后黑客的种种恶意行为不光给手游运营商带来財产方面的严重损失,一经媒体曝光“安全...
分类:
移动开发 时间:
2014-07-19 14:01:20
阅读次数:
353
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修...
分类:
Web程序 时间:
2014-07-14 09:51:30
阅读次数:
257
爱加密作为国内最专业的移动应用保护平台,提供的加密服务可以实现从源头上保护App应用的安全,其针对安全的四大功能:1、防逆向分析,即防止通过APKTool、IDAPro等反编译工具破解DEX文件,从而获取APK源代码,保护代码层安全;2、防恶意篡改,即校验APK完整性,自动终止运行被篡改的APK,应用被二次打包后,植入恶意代码后都无法使用,杜绝盗版应用的出现;3、防内存窃取,即防止通过gdb、gcore,从内存中截取dex文件,获取代码片段,从而反编译还原APK进行不法操作;4、防动态跟踪,即防止通过ptr...
分类:
移动开发 时间:
2014-07-06 08:57:35
阅读次数:
313
2013年手游行业的规模与收入均实现了大幅增长,发展势头强劲。然而,在手游高速发展的同时,由于监管、审核等方面存在着漏洞,手机游戏软件被破解后注入恶意代码、盗取用户财产、窃取用户设备信息的现象屡见不鲜。手游被破解后黑客的种种恶意行为不光给手游运营商带来财产方面的严重损失,一经媒体曝光“安全问题”后,更会给产品的声誉,严重损害产品的品牌形象。这不管是对手游运营商还是个人开发者来说,都是不可承受的打击...
分类:
移动开发 时间:
2014-07-03 16:21:43
阅读次数:
249
