http://www.fontsquirrel.com/fontface@font-face是CSS3中的一个模块,他主要是把自己定义的Web字体嵌入到你的网页中,随着@font-face模块的出现,我们在Web的开发中使用字体不怕只能使用Web安全字体,你们当中或许有许多人会不自然的问,这样的东西...
分类:
Web程序 时间:
2014-10-16 12:57:32
阅读次数:
224
1.漏洞获取方法1)扫描器扫描 2)乌云 3)线上服务漏洞样例:线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件2.入侵原因1)好玩 2)拖库,目的,获得各种账号password。相同账号在其它地方的password有可能一致。3)删...
分类:
Web程序 时间:
2014-10-13 21:43:57
阅读次数:
243
缩略图:引文:所谓UBB代码,是指论坛中的替代HTML代码的安全代码。ubb发帖编辑器这种代码使用正则表达式来进行匹配,不同的论坛所使用的UBB代码很可能不同,不能一概而论。UBB代码的出现,使得论坛可以使用类似HTML的标签来增加文字的属性,同时又不用害怕HTML代码中所夹带的不良信息!UBB并没...
分类:
Web程序 时间:
2014-10-12 20:01:28
阅读次数:
232
---恢复内容开始---参考资料:《黑客攻防演习》第二版 Ed SKoudis Tom Liston著1. 传统数据包过滤器也可以在路由器上实现,主要围绕单个数据包。设备会分析数据包,决定数据包是否要被丢弃。通常根据源IP地址和目标IP地址或者端口号以及TCP控制位等来判断。数据包若具有置位的SY....
分类:
Web程序 时间:
2014-10-09 22:25:57
阅读次数:
174
总觉得做安全的自己总要写点儿东西,对知识定期做一个梳理,这样才有利于知识的理解和巩固,也希望能给后来的人帮助。以后就现在这里安家了其实,这样的一个想法早就是有的,由于种种原因迟迟没有写,最近国庆期间,有幸读了道哥的白帽子将web安全,对道哥的为人、技术和分享精神等深感敬佩,感觉自己应该向前辈学习。话...
分类:
其他好文 时间:
2014-10-08 02:49:34
阅读次数:
322
web for pentester是国外安全研究者开发的的一款渗透测试平台,通过该平台你可以了解到常见的Web漏洞检测技术。下载链接及文档说明:http://pentesterlab.com/exercises/web_for_pentester/【安装流程】1. 虚拟机中挂载镜像。 下载好ios镜...
分类:
Web程序 时间:
2014-09-30 20:10:30
阅读次数:
477
最近一直在研究XSS的攻防,特别是dom xss,问题慢慢的迁移到浏览器编码解码顺序上去。今儿被人放鸽子,无奈在KFC看了两个小时的资料,突然有种豁然开朗的感觉。参考资料先贴出来:1.http://www.freebuf.com/articles/web/43285.html2.http://www...
分类:
Web程序 时间:
2014-09-21 01:39:39
阅读次数:
399
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊一、跨站脚本攻击(XSS...
分类:
数据库 时间:
2014-09-19 22:28:36
阅读次数:
379
《web之困:现代web应用安全指南》在web安全领域有“圣经”的美誉,在世界范围内被安全工作者和web从业人员广为称道,由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写,是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入,以探讨浏览器的各.....
分类:
Web程序 时间:
2014-09-18 11:01:13
阅读次数:
283
0×01 前言:《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下...
分类:
其他好文 时间:
2014-09-09 21:28:09
阅读次数:
263
