夜火博客 个人的碎碎念收集箱

Clickjacking - 点击劫持漏洞技术内幕

Clickjacking - 点击劫持漏洞技术内幕

Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:

  当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器。

宽带用户防范“黑客”攻击的十大招式

  随着黑客工具的简单化和傻瓜化,众多的技术水平不高的用户也可以利用手中的黑客工具大肆进行攻击(这些人又被称为“灰客”),我们的上网安全受到了极大的威胁,难道我们只能被迫挨打,任其欺负吗?当然不是,只要设置得好,这些人是奈何不了我们的!请看本文讲述的十种方法。

标签: 技术类黑客

作者:夜火 分类:技术文章 浏览:2667 评论:1

无ARP欺骗的嗅探技术

ARP欺骗的攻击和防御技术都比较成熟了,这里也不再阐述。此次重点讲解如何不用ARP欺骗进行嗅探以及会话劫持的技术原理,实际的攻击方法是进行MAC欺骗。
 
一、原理:

无ARP欺骗的嗅探技术

标签: ARP技术类

作者:夜火 分类:技术文章 浏览:3254 评论:1

如何阅读别人的代码(转)

作为初学者,我们可能经常会需要去阅读别人的代码,以求从中学到别人的设计思路,抑或是从代码中了解类库的使用。不管哪种需求,我们都需要做到快速准确地阅读。那么,究竟如何阅读呢?
让我们以一个.net的项目为例:当我们打开一个.net解决方案的时候,里面通常有不止一个项目,例如一个三层架构的web项目,里面除了一个web网站外,通常还会包括诸如数据层(DAL)、逻辑层(BLL)项目,另外,一般我们会提供一个通用项目(Common类库),或者把DAL中的model部分抽取出来,这样就可能形成一个包含很多个组件的解决方案。
...

如何检查自己是否成为他人肉鸡

 我们势必需要经常性的检查自己的电脑是不是被入侵,如果发现入侵,就得想尽一切办法将木马程序清除出去,必要时,宁可格式化重装,也不给攻击者留下任何机会。

  接下来,我们介绍一下“肉鸡”电脑的一些现象,提醒网友遇到这些现象时,要注意检查。文章的最后会介绍几个工具软件协助分析本机的安全性。

  现象1:QQ、MSN的异常登录提醒

  你在登录QQ时,系统提示上一次的登录IP和你完全不相干。比如,你明明就只在上海的家里上过,QQ却提醒你上一次登录地点在沈阳。

...

WAP Web Application Security - WAP的Web应用安全

WAP Web Application Security
Author: lake2 [80sec]
EMail: lake2#80sec.com
Site: http://www.80sec.com
Date: 2008-6-10
From: http://www.80sec.com/release/WAP-Web-Application-Security.txt
———————————

[ 目录 ]

0×00 纯属扯淡
0×01 WML与WMLScript
0×02 WML注入攻击
0×03 WML注入可以做什么
0×04 WAP站点会话安全
0×05 后记

标签: WAPWML安全

作者:夜火 分类:技术文章 浏览:2779 评论:2

高手常用技巧应用十大诀窍(转)

 1、如何实现关机时清空页面文件打开“控制面板”,单击“管理工具→本地安全策略→本地策略→安全选项”,双击其中“关机:清理虚拟内存页面文件”一项,单击弹出菜单中的“已启用”选项,单击“确定”即可。

  2、如何自行配置Windows XP的服务

  如果你是在单机使用WindowsXP,那么很多服务组件是根本不需要的,额外的服务程序影响了系统的速度,完全可将这些多余的服务组件禁用。单击“开始→控制面板→管理工具→服务”,弹出服务列表窗口,有些服务已经启动,有些则没有。我们可查看相应的服务项目描述,对不需要的服务予以关闭。如“Alerter”,如果你未连上局域网且不需要管理警报,则可将其关闭。

...

标签: 技术类

作者:夜火 分类:技术文章 浏览:5010 评论:0

cookies的注入方法和原理

现在很多网站都采用了通用防注入程序,那么对于这种网站,我门是否就束手无策了呢?答案是否定的,因为我们可以采用cookie注入的方法,而很多通用防注入程序对这种注入方式都没有防备。

在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.

远程包含和本地包含漏洞的原理

首先,我们来讨论包含文件漏洞,首先要问的是,什么才是"远程文件包含漏洞"?回答是:服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。几乎所有的 cgi程序都有这样的 bug,只是具体的表现方式不一样罢了。

ASP的FSO组件操作详解说明

夜火:最近学校里讲了ASPFSO组件,没听太懂。。。上课打瞌睡了~,以前自己也看过一些关于ASP的书,所以就算打瞌睡最后的作业也顺利完成交上去了。学校教的进度实在是不敢恭维,还是自己多找点关于FSO的东西来充实下,顺便当作笔记,以备后查

标签: ASPFSO技术类

作者:夜火 分类:技术文章 浏览:11516 评论:2

CSRF的攻击与防御

CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。