百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝。估计很多地方都没考虑,还可以继续挖。点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的。是一种视觉欺骗手段,在Web端就是Iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用...
分类:
其他好文 时间:
2015-04-03 22:25:16
阅读次数:
310
缓冲区溢出就是在大缓冲区数据向小缓冲区复制的过程中,由于没有注意到小缓冲区的边界,“撑爆”了较小的缓冲区,从而冲掉了和小缓冲区相邻内存区域的其他数据而引起的内存问题。缓冲区溢出是常见的内存错误之一,成功的利用该漏洞可以修改内存中变量的值,甚至可以劫持进程,执行恶意代码最终获得主机的控制权。进程使用的...
分类:
其他好文 时间:
2015-04-03 22:19:33
阅读次数:
123
0x00 相关背景介绍Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。由于点击劫持的出现,便出现了反frame嵌套...
分类:
其他好文 时间:
2015-04-03 22:17:18
阅读次数:
203
前几天在乌云看见了百度统计js被劫持用来DDOS Github,就想看看执行的核心JS是怎么样请求的。就分析了下JS的执行,发现乌云解析的地方说错了。文章里面说。大概功能就是关闭缓存后每隔2秒加载一次。我看了下代码的意思是:第一次请求,延迟2秒钟请求。然后,以后的每次请求都以请求开始跟请求结束(请求...
分类:
Web程序 时间:
2015-04-02 01:05:50
阅读次数:
230
我们知道,某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。常用的手段有:DNS劫持和DNS污染。关于DNS劫持和DNS污染的区别,请查找相关文章。 对付DNS劫持的方法很简单,只需要把系统的DNS设置改为为国外的DNS服务器的IP地.....
分类:
其他好文 时间:
2015-04-01 19:42:47
阅读次数:
129
openssl升级步骤:环境CentOS 1 wget http://www.openssl.org/source/openssl-1.0.2a.tar.gz 2 tar zxvf openssl-1.0.2a.tar.gz 3 cd openssl-1.0.2a 4 ./config --pref...
分类:
其他好文 时间:
2015-03-31 17:35:26
阅读次数:
271
“D+”专为APP而生的移动解析服务3月27日,国内最大域名智能解析服务商DNSPod正式推出移动解析服务,名为“D+”(https://www.dnspod.cn/httpdns),填补了目前国内市场上关于HttpDNS的这一空白。DNSPod技术负责人介绍称,“D+”是为移动而生的专业解析服务,它的诞生就是为了..
分类:
移动开发 时间:
2015-03-30 19:07:00
阅读次数:
203
我们上网,必不可少的就是DNS,在这里先介绍下DNS的相关知识。
DNS 是域名系统 (Domain NameSystem) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。
其实,我们平时访问网站,例如我们访问百度,那么我们在浏览器里面输入ww...
分类:
Web程序 时间:
2015-03-15 09:25:45
阅读次数:
203
1.apply和call的区别在哪里2.什么情况下用apply,什么情况下用call3.apply的其他巧妙用法(一般在什么情况下可以使用apply)我首先从网上查到关于apply和call的定义,然后用示例来解释这两个方法的意思和如何去用. apply:方法能劫持另外一个对象的方法,继承另外一个对...
分类:
移动开发 时间:
2015-03-04 18:20:49
阅读次数:
124
Firefox IE 被劫持windows的控制面板,卸载程序, 找任何跟「Snap.do」有关的软件,找到後先移除「Snap.Do Engine」再移除「Snap.Do」。注册表里查找 Snap.do,删除之删除下面或卸载C:\Users\Administrator\AppData\Local\C...
分类:
其他好文 时间:
2015-03-02 16:44:34
阅读次数:
261
