G

几种通用防注入程序绕过方法

genxor / 2013-07-29

目前主流的CMS系统当中都会内置一些防注入的程序,例如Discuz、dedeCMS等,本篇主要介绍绕过方法。

保护自己之手机定位信息收集

啦绯哥 / 2013-07-26

M.N:mobile number,11位数字组成,拨打国内默认在号码前加+86,为确定国家位置;

IMEI:IMEI由15位数字组成(如862698014111114),全球唯一,一一对应每台手机,前6位是“型号核准号码,代表手机机型”(如862698),接着2位代表产地(如01),之后6位代表生产顺序号(其实就是厂家的SN)(如411111),最后1位数是校验码(如4)。

I

解密JBoss和Weblogic数据源连接字符串和控制台密码

insight-labs / 2013-07-25

现在越来越多的站喜欢用java语言的框架做web应用了,这里应用有很多大型站点经常采用jboss或者weblogic做web服务器。出于安全原因,他们都提供把数据源连接密码以及web服务器后台密码加密的功能,jboss用的是blowfish,weblogic旧版的加密算法一般为3DES,新版的则都是AES。

攻击JavaWeb应用[5]-MVC安全

园长 / 2013-07-25

注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想。MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2、SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全,由浅到深尽可能的照顾没Java基础的朋友。所谓攻击JavaWeb,如果连JavaWeb是个什么,有什么特性都不知道,就算能用Struts刷再多的RANK又有何意义?还不如沏一杯清茶,读一本好书,不浮躁,撸上一天。

终端机的安全性

瞌睡龙 / 2013-07-24

如今触摸屏设备涉及领域越来越多,深深的融入到了我们的日常生活中。

比如大家都熟知的ATM取款机,到水电费缴纳机、优惠券打印机、交通路线查询机、商城导购机、登机牌打印机甚至电动游戏机,都已经采用触屏技术。

话说这人来人往,人见人摸的设备安全性如何呢?

JBoss安全问题总结

瞌睡龙 / 2013-07-23

JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。

它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。

因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。

如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

核攻击 / 2013-07-22

说到社工库,现在很流行,数据也越来越庞大、详细,其威胁程度日愈严重。

其中威胁最高的就属密码库了,也是数量最大,影响范围最广的。

密码库主要来源就不说了,各种拖库……

从技术角度深入剖析:改号软件,电话号码任意显示,伪造来电显示

核攻击 / 2013-07-22

其实很多年前就有此类技术分析文档,几年前我曾看过一篇技术分析文章,详细讲了这个实现原理,年代久远,尼玛文章找不到了,但是大概内容还记得点,结合搜索,整理了点东西出来。

估计有很多人知道,这种技术是由于不同网络中转发数据用的网关在作怪,但是并不明白更底层的原理,本文将从最底层、最基础的电话传输协议、数据帧开始讲……

在线支付逻辑漏洞总结

瞌睡龙 / 2013-07-19

随着网民越来越习惯于网上购物,出现了越来越多的电商网站,在线交易平台等。
其中肯定要涉及在线支付的流程,而这里面也有很多逻辑。
由于这里涉及到金钱,如果设计不当,很有可能造成0元购买商品等很严重的漏洞。

OGNL设计及使用不当造成的远程代码执行漏洞

紫气东来 / 2013-07-19

OGNL是Object-Graph Navigation Language的缩写,它是一种功能强大的表达式语言(Expression Language,简称为EL),通过它简单一致的表达式语法,可以存取对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。它使用相同的表达式去存取对象的属性。OGNL三要素:(以下部分摘抄互联网某处,我觉得说得好)

攻击JavaWeb应用[4]-SQL注入[2]

园长 / 2013-07-18

Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。

Oracle对于MYSQL、MSSQL来说意味着更大的数据量,更大的权限。这一次我们依旧使用上面的代码,数据库结构平移到Oracle上去,数据库名用的默认的orcl,字段"corps_desc" 从text改成了VARCHAR2(4000),JSP内的驱动和URL改成了对应的Oracle。

密码找回功能可能存在的问题

瞌睡龙 / 2013-07-17

有人的地方就有江湖。

互联网中,有用户注册的地方,基本就会有密码找回的功能。

而密码找回功能里可能存在的漏洞,很多程序员都没有想到。

攻击JavaWeb应用[3]-SQL注入[1]

园长 / 2013-07-16

注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。

IIS WebDAV安全配置

瞌睡龙 / 2013-07-15

WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。

浅谈互联网中弱口令的危害

瞌睡龙 / 2013-07-12

弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。

弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的互联网账号受到他人控制,因此不推荐用户使用。

投稿

随机分类

iOS安全 文章:36 篇
硬件与物联网 文章:40 篇
事件分析 文章:223 篇
Android 文章:89 篇
安全开发 文章:83 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

H

HHHeey

好的,谢谢师傅的解答

Article_kelp

a类中的变量secret_class_var = "secret"是在merge

H

HHHeey

secret_var = 1 def test(): pass

RSS订阅