原创 ESAPI WAF
這是OWASP ESAPI 項目提供的一個開源WAF,基於J2EE實現,其主要利用XML的配置方式驅動防火牆。安裝時,在Web.xml中將ESAPIWebApplicationFirewallFilter配置爲filter,在應用程序之前
2020-06-13 02:42:45
7
原创 PCI 資料安全標準
2005年,維薩(Visa)、萬事達卡(Mastercard)、美國運通、發現金融服務公司LLC和JCB等五家國際公司聯合起草了支付卡行業(PCI)數據安全標準(DSS)。支付卡產業的各個參與機構均應該考慮實施符合性工作,即使是中小型
2020-06-13 02:42:45
原创 日誌截斷
詳細見:http://www.webappsec.org/projects/articles/082905.shtml 日誌截斷導致用戶訪問日誌中沒有保留完整的url信息,因此黑客攻擊將有可能被忽略。需要利用IIS等服務器中相關的插
2020-06-13 02:42:45
原创 點擊劫持 Framekiller--惡意frame導致CSRF攻擊
頁面被惡意iframe後,將可能導致csrf攻擊。而且頁面上的元素能夠被DIV覆蓋,將可能加重這種攻擊。iframe被DIV覆蓋可以參考下面的鏈接:http://www.hiermenuscentral.com/issues/safi
2020-06-13 02:42:35
9
原创 關於Domain Contamination
轉自:http://www.webappsec.org/projects/articles/020606.shtml 文章中對於一些domain被劫持後恢復後依然可能存在攻擊情況作了分析,如緩存在服務器和瀏覽器、代理服務器中的相關頁面
2020-06-13 02:42:35
原创 Cross Iframe Trick和IFrame的Security屬性
使用IE的<IFrame>的Security屬性,設置爲restricted後,frame中的腳本將不能執行(僅限於IE)。如: <iframe security="restricted" src="http://www.somesit
2020-06-13 02:42:35
原创 轉義在防止SQL注入中依然不夠
轉自:http://www.webappsec.org/projects/articles/091007.shtml mysql_real_escape_string對於防止SQL注入還是不夠的。對於某些參數的值來說,用引號包含起來是
2020-02-22 03:09:38
原创 YUI Compressor源代碼分析
YUI Compressor是雅虎開發的JavaScript 、CSS的開源壓縮工具。該工具的開發語言是Java,需要運行JRE1.4以上。YUI Compressor利用了Mozilla基金會提供的JavaScript引擎Rhino。
2020-02-22 03:09:38
原创 P3P
P3P是萬維網聯盟(W3C)公佈的一項隱私保護推薦標準,旨在爲網上衝浪的 Internet用戶提供隱私保護。現在有越來越多的網站在消費者訪問時,都會收集一些用戶信息。制定P3P標準的出發點就是爲了減輕消費者因網站收集個人信息所引發的
2020-02-22 03:09:38
1
原创 DOM-Based XSS
無論怎樣,DOM 的XSS攻擊需要小心 再小心,最好能在客戶端做一個過濾。 這個在服務器端解析時,竟然只能解析一個name? http://www.vulnerable.site/welcome.html?foobar=name
2020-02-22 03:09:38
50
原创 Windows 硬件體驗 Device Stage Windows Update
徽標認證是硬件體驗的前提。設備首先需要通過該認證,而且其驅動,元數據信息(Device Stage 設備管理頁面的樣式)也都需要經過不同方式驗證,一個是WHQL ,一個是Windows Quality Online Services(Wi
2020-02-22 03:09:38
原创 Null Byte Injection
以前不知道,記下來。 Perl PHP Null Byte Injection rain.forest.puppy outlined in Phrack issue 55 the uses of NUL Byte Injection wi
2020-02-22 03:09:38
原创 讀《java安全性編程實例》
總的看來,Java體系對安全以及安全編程考慮的很周到,這點我覺得非常難得。 凱撒密碼-- 一種遙遠簡單的密碼體系。簡單的說來就是移位。 ECB -- 對明文分組的不同處理方式形成了不同的加密方式,本章前面各節的程序中沒有指定加密方式,
2020-02-22 03:09:38
原创 讀《The.Web.Application.Hackers.Handbook》
Authentication與Access Control。 我一直覺得這兩個安全概念是一樣的,結果書上,或者很多書上,都區分了兩者。Authentication就是識別身份,Access Control則是訪問控制。一般來說,我認爲兩者
2020-02-22 03:09:38
原创 WASC Threat Classification 安全威脅分類
對於初次學習安全知識的人而言,學習安全威脅的分類無疑是非常重要的內容。 OWASP的webgoat項目也對一些安全問題進行了分類,但是其本意還是作爲一種安全學習的範例,而不是作爲安全問題分類獨立存在。 Web Application Se
2020-02-22 03:09:38
20