N

详解XMLHttpRequest的跨域资源共享

nyannyannyan / 2013-07-09

Browser Security-同源策略、伪URL的域这篇文章中提到了浏览器的同源策略,其中提到了XMLHttpRequest严格遵守同源策略,非同源不可请求。但是,在实践当中,经常会出现需要跨域请求资源的情况,比较典型的例如某个子域名向负责进行用户验证的子域名请求用户信息等应用。

Rsync安全配置

瞌睡龙 / 2013-07-08

Rsync,remote synchronize顾名思意就知道它是一款实现远程同步功能的软件,它在同步文件的同时,可以保持原来文件的权限、时间、软硬链接等附加信息。
rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法,而且可以通过ssh方式来传输文件,这样其保密性也非常好,另外它还是免费的软件。

攻击JavaWeb应用[2]-CS交互安全

园长 / 2013-07-08

注:本节意在让大家了解客户端和服务器端的一个交互的过程,我个人不喜欢xss,对xss知之甚少所以只能简要的讲解下。这一节主要包含HttpServletRequest、HttpServletResponse、session、cookie、HttpOnly和xss,文章是年前几天写的本应该是有续集的但年后就没什么时间去接着续写了。由于工作并非安全行业,所以写的并不算专业希望大家能够理解。后面的章节可能会有Java里的SQL注入、Servlet容器相关、Java的框架问题、eclipse代码审计等。

攻击JavaWeb应用[1]-JavaEE 基础

园长 / 2013-07-04

JSP: 全名为java server page,其根本是一个简化的Servlet

Servlet:Servlet是一种服务器端的Java应用程序,可以生成动态的Web页面。

JavaEE: JavaEE是J2EE新的名称。改名目的是让大家清楚J2EE只是Java企业应用。

什么叫Jsp什么叫Java我真的非常让大家搞清楚!拜托别一上来就来一句:“前几天我搞了一个jsp的服务器,可难吭了。”。

B

QR二维码的攻击方法与防御

Blackeagle / 2013-07-03

QR二维码(Quick Response Code)是由日本丰田子公司Denso Wave于1994年发明并开始使用的一种矩阵二维码符号。与条形码相比,它具有明显的优势:条形码最多只能存储20位,但QR码可以存储7089个字符;携带相同的信息量,QR只需要条形码1/10的空间。QR码最初用于在汽车制造业中追踪部件,之后被广泛应用到其它行业尤其是电信行业。随着智能手机的普及,QR码成为了一个快速、高效的URL连接器,被称为移动互联网的“入口”。用户通过扫描QR码,能够快速链接到指定网站,并进行软件下载、新闻阅览、广告推广服务等。另外,QR码也逐渐在广内超市中使用,通过扫描QR码可查询到相关产品的产地介绍、营业执照、自产自销证明等信息。QR码不仅信息容量大、可靠性高、成本低,还可表示汉字及图像等多种文字信息、其保密防伪性强而且使用非常方便。因此,很快就在日韩地区得到迅速普及,发展到后来,欧美国家也开始大量使用。

L

Bypass IE XSS Filter

livers / 2013-07-03

从IE8 beta2 开始,微软加入了xss Filter。如同大部分安全产品一样,防护的对策就是利用规则去过滤攻击代码,基于可用和效率的考虑,同时加入黑白名单策略(即同源策略)。

经过几代的更新和大量hack爱好者的测试(微软喜欢招揽一些帮助寻找漏洞的人才),到IE9已经有了比较好的提升。下面主要针对IE9和IE10.

V

CSRF简单介绍及利用方法

VIP / 2013-07-02

CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。

由参数URL想到的

瞌睡龙 / 2013-06-28

当你看到一个参数的值是url的时候你会想到什么?
结合wooyun里的案例看,可能产生的危害分为三方面:

Flash安全的一些总结

只抽红梅 / 2013-06-27

flash如何跨域通信,全靠crossdomain.xml这个文件。这个文件配置在服务端,一般为根目录下,限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。

比如下面的列子: 1、www.a.com域下不存在crossdomain.xml文件,则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。

Browser Security-同源策略、伪URL的域

瞌睡龙 / 2013-06-19

同源策略(Same Origin policy,SOP),也称为单源策略(Single Origin policy),它是一种用于Web浏览器编程语言(如JavaScript和Ajax)的安全措施,以保护信息的保密性和完整性。

同源策略能阻止网站脚本访问其他站点使用的脚本,同时也阻止它与其他站点脚本交互。

Browser Security-css、javascript

瞌睡龙 / 2013-06-19

调用方式有三种:

1 <style>
2 通过<link rel=stylesheet>或者使用style参数
3 XML包括XHTML可以通过<?xml-stylesheet href=...?>

Browser Security-超文本标记语言(HTML)

瞌睡龙 / 2013-06-19

1 &符号不应该出现在HTML的大部分节点中
2 尖括号<>是不应该出现在标签内的除非为引号引用
3 在text节点里面<左尖括号有很大的危害
4 引号在标签内可能有危害具体危害取决于存在的位置但是在text节点是没有危害的

Browser Security-基本概念

瞌睡龙 / 2013-06-19

URL格式:

scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]]

I

常见验证码的弱点与验证码识别

insight-labs / 2013-06-08

验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤毁于蚁穴,有些时候如果能绕过验证码,则可以把手动变为自动,对于Web安全检测有很大的帮助。

投稿

随机分类

安全管理 文章:7 篇
业务安全 文章:29 篇
APT 文章:6 篇
网络协议 文章:18 篇
前端安全 文章:29 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

R

rrrwxvvt

学到了

M

mifash

👍

Z

ZZZZZZ

好像不是,还是这样

Z

ZZZZZZ

找到问题了。。。。json文件里有几个//

Z

ZZZZZZ

大佬,提示"java.lang.Exception: Json解析出现异常�?D

RSS订阅