当前位置:首页 > 安全文摘 > Web安全
 
谷歌电子表单CSRF+JSON劫持漏洞
 Kong2016-10-31 15:29:36
=在2015年10月,我在在谷歌电子表单有关的API接口中发现了JSON + CSRF(跨站伪造请求)点击劫持漏洞。攻击者可以利用这个漏洞在未授权访问Google Drive文件的情况下,获取用
XSS dynamic detection using PhantomJs
 Kong2016-10-30 02:22:00
[+] Author: fridayy[+] Team: n0tr00t security team[+] From: http://www.n0tr00t.com[+] Create: 2016-10-29XSS 是典型的浏览器端漏洞,由于用户的输入未经转义直接输出
代码审计就该这么来3 beescms getshell
 Kong2016-10-29 15:49:15
前言上一回(http://bbs.ichunqiu.com/thread-13714-1-1.html )说到快速漏洞挖掘中的几个重点关注对象,命令执行,文件操作,sql注入。并且拿sql做为例子简单做了一次代码审
盘点那些渗透测试中的奇淫技巧
 Kong2016-10-29 15:42:46
前言:总结下渗透测试中的一些小技巧,仅做总结。目录:0x01 php文件包含姿势
0x02 .htaccess文件突破黑名单解析
0x03 php流封装绕过截断
0x04 通用防注入系统getshe
结合 host 头注入和 host的不严谨解析,提供恶意数据服务
 Kong2016-10-27 00:56:45
TL;DR, Internet Explorer 曾经有个这么个 bug,允许攻击者使受害者发送带有恶意 Host 头的请求。文件描述符曾经用它窃取 GitHub 的 OAuth token,我们用它来混淆 Heroku 和
手把手教你解密MacOS平台下的Chrome密码
 Kong2016-10-25 16:06:32
虽然现在网上有很多开源的软件可以帮助你解密那些存储在GoogleChrome浏览器中的密码,但是这些软件几乎只支持在Windows操作系统下使用。那么对于我们这些Mac用户来说,当我
浏览器插件的攻击向量
 Kong2016-10-25 15:56:31
0×0 前言:我在很多地方都有说“浏览器插件的攻击方法”,本篇文章就带大家深入的研究一下“由浏览器插件引发的攻击手法及攻击代码”。本篇文章
图片钓鱼:追捕漏网之鱼
 Kong2016-10-24 14:48:48
以为不点开“新建标签页”的图片链接就安全了?别急!现在是时候和我一起追捕漏网之鱼了。上一篇文章,我和大家分享了图片钓鱼的一个小想法《点击一张图片背后的
CSP的今世与未来
 silence2016-10-23 16:27:06
从两个工具说起最近Google又推出了两款有关CSP利用的小工具,其一为CSP Evaluator,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在
新手指南:DVWA-1.9全级别教程之Command Injection
 Kong2016-10-21 16:38:22
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误
 124   首页 上一页 4 5 6 7 8 9 10 11 12 13 下一页 尾页