当前位置:首页 > 安全文摘 > Web安全
 
Firefox - SVG cross domain cookie vulnerability
 kong2016-12-10 13:13:29
我最近有了解到,浏览器允许使用 meta 标签来设置 cookie 。我不确定我是不是忘了这一特性,或者之前从来没使用过它。
RCE in JXBrowser JavaScript/Java bridge
 kong2016-12-10 13:03:30
最近发现自己在使用 JXBrowser 给实验性扫描技术制作原型,这是一个在 Java 应用中使用类似 PhantomJS 浏览器的库。
可能是史上最先进的恶意广告攻击:一个Banner就感染了上百万PC,雅虎、MSN等大型网
 kong2016-12-09 15:15:34
如果你在过去的两个月内访问了任意主流网站,那么恭喜你,你的电脑很有可能已经中招了。
Java Web本地提权以及数据劫持思路(以Tomcat为例)
 kong2016-12-06 16:20:16
最近偶然接触到一个Java的不常用的特性:instrument。简单来说,这个特性允许你在程序运行之前改变任意类文件的字节码。简单的instrument例子大家可以百度,相当多。
通过反射型 XSS 绕过配合 form-action 绕过 CSP
 kong2016-12-06 16:16:04
CSP(Content-Security-Policy)是一个HTTP响应头,该响应头包含了指示浏览器如何限制页面上的内容的指令。 例如,”form-action”指令限制了可以提交的原始表单。
Splunk+蜜罐+防火墙=简易WAF
 kong2016-12-05 17:05:43
每天都会有大量的公网恶意扫描和攻击行为,在企业安全建设中,可以利用大数据来实时分析攻击,通过防火墙联动来自动封禁恶意IP,其优点是配置灵活,且无需串联新设备。在此与大家分享一下大数据分析的应用
Bypassing CSP using polyglot JPEGs
 kong2016-12-05 16:51:35
James 曾请我看看是否能创建一个多语言的 JavaScript/JPEG (注:此处即将 JPEG 当做 JS 执行)。这么做的话,我将可以通过在同一域名用户可上传的图片,来绕过 CSP 的保护。
案例分析:利用OAuth实施钓鱼
 kong2016-12-04 19:52:20
OAUTH(Open Authorization)协议为用户资源的授权提供了一个安全的、开放而又简易的标准。
当代 Web 的 JSON 劫持技巧
 kong2016-11-30 12:28:18
Benjamin Dumke-von der Ehe 发现了一种有趣的跨域窃取数据的方法。
JSON-handle DomXSS Vulnerability
 kong2016-11-30 12:23:55
刚好距上次发表 ChromeJsonView 的【问题】半年时间,这次简单描述下 Firefox 浏览器中 JsonHandle 最新版存在的安全缺陷。
 125   首页 上一页 1 2 3 4 5 6 7 8 9 10 下一页 尾页

小组Security交流群: 199852440
关注网络攻防小组微信公众号
每日精选文章推送

新浪微博