当前位置:首页 > 安全文摘 > Web安全
 
可能是史上最先进的恶意广告攻击:一个Banner就感染了上百万PC,雅虎、MSN等大型网
 kong2016-12-09 15:15:34
如果你在过去的两个月内访问了任意主流网站,那么恭喜你,你的电脑很有可能已经中招了。
Java Web本地提权以及数据劫持思路(以Tomcat为例)
 kong2016-12-06 16:20:16
最近偶然接触到一个Java的不常用的特性:instrument。简单来说,这个特性允许你在程序运行之前改变任意类文件的字节码。简单的instrument例子大家可以百度,相当多。
通过反射型 XSS 绕过配合 form-action 绕过 CSP
 kong2016-12-06 16:16:04
CSP(Content-Security-Policy)是一个HTTP响应头,该响应头包含了指示浏览器如何限制页面上的内容的指令。 例如,”form-action”指令限制了可以提交的原始表单。
Splunk+蜜罐+防火墙=简易WAF
 kong2016-12-05 17:05:43
每天都会有大量的公网恶意扫描和攻击行为,在企业安全建设中,可以利用大数据来实时分析攻击,通过防火墙联动来自动封禁恶意IP,其优点是配置灵活,且无需串联新设备。在此与大家分享一下大数据分析的应用
Bypassing CSP using polyglot JPEGs
 kong2016-12-05 16:51:35
James 曾请我看看是否能创建一个多语言的 JavaScript/JPEG (注:此处即将 JPEG 当做 JS 执行)。这么做的话,我将可以通过在同一域名用户可上传的图片,来绕过 CSP 的保护。
案例分析:利用OAuth实施钓鱼
 kong2016-12-04 19:52:20
OAUTH(Open Authorization)协议为用户资源的授权提供了一个安全的、开放而又简易的标准。
当代 Web 的 JSON 劫持技巧
 kong2016-11-30 12:28:18
Benjamin Dumke-von der Ehe 发现了一种有趣的跨域窃取数据的方法。
JSON-handle DomXSS Vulnerability
 kong2016-11-30 12:23:55
刚好距上次发表 ChromeJsonView 的【问题】半年时间,这次简单描述下 Firefox 浏览器中 JsonHandle 最新版存在的安全缺陷。
php一句话后门过狗姿势万千之传输层加工【二】
 kong2016-11-29 19:26:24
既然木马已就绪,那么想要利用木马,必然有一个数据传输的过程,数据提交是必须的,数据返回一般也会有的,除非执行特殊命令。
php一句话后门过狗姿势万千之后门构造与隐藏(一)
 kong2016-11-29 19:12:32
过狗相关的资料网上也是有很多,所以在我接下来的文章中,可能观点或者举例可能会与网上部分雷同,或者表述不够全面。
 124   首页 上一页 1 2 3 4 5 6 7 8 9 10 下一页 尾页