HTML5安全风险详析之四：Web Worker攻击

一、WebWorker介绍 因为Javascript是单线程执行的，在执行过程中阅读器不能执行其它Javascript脚本，UI渲染线程也会被挂起，从而招致阅读器进入僵死状态  。...

Oblog最新注入漏洞分析(已修补)

Date：2008-5-15 Author：Yamato[BCT] Version：Oblog 4.5-4.6 sql 代码分析： 文件In/Class_UserCommand.asp : st...

网站防御可租赁？SafeHTTP“网站卫士”进军PaaS安全

国际知名Web应用安全组织OWASP在11月8日-9日在中国北京国际会议中心召开OWASP 2011亚洲峰会，各行业的CIO/CTO/CSO代表和国内外知名的应用安全专家、厂商代表均有参与 ...

MS07-029漏洞利用入侵过程

前言： MS07-029，Windows 域名系统 (DNS) 服务器服务的远程过程调用 (RPC) 管理接口中存在基于堆栈的缓冲区溢出 。漏洞的前提是没打补丁，开启DNS服务的所有版...

微软全系统建立隐藏账户漏洞分析

详细说明：可以通过特殊字符建立隐藏账户 。.命令行界面下不显示，用户管理面板中显示为空.非$..可以通过智能ABC输入法中V9里的空白字符建立隐藏帐号，命令行下无法建立,可以先写个批处理，...

网站拿webshell一技巧

一个存在备份的页面，但是一般直接访问的话都会出现 看到系统有个广告位的地方，还可以进行url地址的提交，于是就可以把备份的地址写进去即可 之后再管理广告位，直接点击那个URL地址，即可看到我们...

安全编程: 避免竞争条件

通过一个偷窃而来的口令，Mallory 成功地登录到一台运行 Linux 的重要服务器。其帐号是一个非常受限的帐号，但是 Mallory 知道如何使用它来制造麻烦。Mallory 安装并运行了一个行为...

HTML5安全攻防详析之完结篇：HTML5对安全的改进

HTML5对旧有的安全策略进行了十分多的补充  。 一、iframe沙箱 HTML5为iframe元素添加了sandbox属性 预防不信赖的Web页面执行某些操作，例如 拜访父页面...

Linux Audit audit_log_user_command 栈溢出漏洞

受影响系统： Linux Audit Linux Audit 1.6.9 不受影响系统： Linux Audit Linux Audit 1.7 描述： Linux Audit是用于查看Li...

Linux中防御垃圾邮件的方法

相信大部分使用电子邮件的人每天都会收到大量垃圾邮件。作为单位网管，笔者每天收到垃圾邮件的数量更在数百封以上，预防垃圾邮件已到了刻不容缓的地步。 一、环境说明单位的服务器使用RedHat Linux 9...

选择防火墙应该考虑的几方面

首先要明确，防火墙不是路由器、交换机或者服务器。（虽然看起来比较象）所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢？一安全性：这是重中之重。安全性不高的防火墙，其他性能再好也是...

PHPCMS2007 SP6 vote模块SQL注射漏洞的分析

漏洞代码： vote/vote.php // 22行 $optionids = is_array($op) ? implode(',',$op) : $op; ......

FCKeditor上传Getshell不要忘记htaccess

1.创建一个.htaccess文件，内容如下： <FilesMatch "_php.gif"> SetHandler application/x-httpd-php ...

AlsaPlayer 存在处理远程缓冲区溢出漏洞

受影响系统： Alsaplayer Alsaplayer 0.99.80-rc2 Alsaplayer Alsaplayer 0.99.76 Alsaplayer Alsaplaye...

Google 研究发现网站的安全问题其实并不安全

 多网站为了 加强安全一般在密码以外添加安全问题  。然而Google的深度探究表明，这一密码 迷失后的最终一道防线要比 料想的弱  。 Goog...

基于Windows入门级IDS构建过程详述

从现实来看，市场上所大行其道的IDS产品价格从数十万到数百万不等，这种相对昂贵的奶酪被广为诟病，所导致的结果就是：一般中小企业并不具备实施IDS产品的能力，它们的精力会放在路由器、防火墙以及3层以上交...

金山毒霸2007 Windows Vista版试用手记

    伴随着微软Vista中文操作系统的全面上市,各类关于Vista的话题蜂拥而至,大量的软硬件厂商也都纷纷推出适用于Vista的产品。金山毒霸for Windows...

DEDECMS网站管理系统模板执行漏洞(影响版本v5.6)

影响版本: DEDECMS v5.6 Final 程序介绍: DedeCms 基于PHP+MySQL的技术开发，支持Windows、Linux、Unix等多种服务器平台，从2004年开始发布第一个版...

Mcafee scan 自动停止的修复方法

今天出了怪事情，系统资源占用大的时候，咖啡的访问保护，按访问扫描，缓冲区溢出保护都会忽然自己停止，MCSHIELD服务也会停止，但是过上一会服务又会自己启动（有一次没能自动运行，手动启动的），三个保...

WEBSHELL箱子系统V1.0收信箱子代码漏洞分析及解决方法

/admin/check.asp 检测后台登陆的地方 复制代码代码如下: <!--#Include File="../conn.asp"--> <!--#Include File=...

雅虎通 ActiveX控件GetFile方式任意文件上传漏洞

受影响系统： Yahoo! Messenger 8.1.421 描述： 雅虎通是一款非常流行的即时通讯工具 。 雅虎通的CYFT ActiveX控件实现上存在漏洞，远程...

教你入侵网吧服务器

如今，很多网吧都安装了万象网吧管理系统，这种系统所带来的方便是有目共睹的 。但是，越是便捷的系统所存在的安全隐患就越大，很多黑客就想出了破解这种管理系统的方法，有的甚至可以入侵到网...

网页“黑手”如何入侵你的Windows系统

网络的流行，让我们的世界变得更加美好，但它也有让人不愉快的时候 。比如，当你收到一封主题为“I Love You”的邮件，兴冲冲的双击附件想欣赏一下这封“情书”的时候，却在无意...

存储区域网络应对风险和威胁的防御

攻击点跨越基础设施的多个层次。第1、5和6点从物理层上开始，在光缆连接到装置时发作。1到4点可能在物理连接完成后启动。如果掌握每个攻击点的具体威胁，则可以定出最有效的对策，本文将分析下列各类威胁： 未...

微软 Internet Explorer 地址栏欺骗漏洞

受影响系统： Microsoft Internet Explorer 7.0 Microsoft Internet Explorer 6.0 SP1 Microsoft Intern...

Zblog最新跨站漏洞及利用代码

　　Js里可以写shell，添加用户，偷取COOKIE然后模拟出真正的转向 　　xmlhttp=poster(); 　　cookie=document.cookie; 　　login=cookie....

Mozilla邮件客户端MIME外部主体堆溢出漏洞

受影响系统： Mozilla Thunderbird 2.0.0.9 不受影响系统： Mozilla Thunderbird 2.0.0.12 描述： -----------...

手工注入方法，方便大家测试程序漏洞

1、加入单引号 ’提交, 结果:如果出现错误提示，则该网站可能就存在注入漏洞 。 2、数字型判断是否有注入; 语句：and 1=1 ;and 1=2 （经典）、 and 1=1...

提升Linux的安全性

 　Linux以安全性和稳定性著称，但是Linux的安全性不是与生俱来的，而是配置出来的。高明的管理员不一定能让Windows滴水不漏，而蹩脚的管理员却可以让Linux不堪一击。为了提升Li...

网络安全产品大市场 防火墙成为主力军

如何选择一个好的防火墙呢？ 一、自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直...

讯时系统(xuas)最新通杀漏洞0day图文说明

google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧） 1、/admin/admin_news_pl_view.asp?id=1//id任意 填入以下语句 ...

Microsoft Visio多个远程代码执行漏洞（MS08-019）

受影响系统： Microsoft Visio 2007 SP1 Microsoft Visio 2007 Microsoft Visio 2003 SP3 Microsoft Visio 200...

Libpng库未知类型块处理远程代码执行漏洞

受影响系统： libpng libpng 1.2.0 - 1.2.26 libpng libpng 1.0.6 - 1.0.32 不受影响系统： libpng libpng 1.2.27 bet...

国内大部分统计系统存在严重漏洞

在开始读该篇文章的时候,请大家首先了解一下关于本文所提及到相关知识以及原理.(跨站脚本攻击的详细解释)跨站脚本攻击又名CSS/XSS,就是利用ASP等等的文件设置和编写时的错误或者疏忽不当，攻击者就可...

mcafee规则导出方法步骤分享 启动画面去除方法

自定义规则导出方法 同样打开注册表编辑器 找到[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocki...

全方位讲解硬件防火墙的选择(多图)

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部...

eWebEditor 6.2 目录遍历漏洞(asp/browse.asp)

asp/browse.asp部分源码: 复制代码代码如下: Dim s_ReturnFlag, s_FolderType, s_Dir Dim s_CurrDir s_ReturnFlag = Tr...

通过Dreamweaver挖掘脚本漏洞

今天在站长站上闲逛时看到了冠龙的这套程序，想想自己刚注意到这套程序的时候还是看手册上刚刚提出Cookie注入的概念，可以说这套程序对我当初学习Cookie注入帮助也是很大的，而且前一段时...

统一威胁管理设备很快将取代现有的防火墙设备

宽带互联网的接入不仅已广泛地从办公领域扩展到家庭市场，而且行将势不可挡地渗透到越来越多的便携式移动终端设备中，如笔记本电脑、PDA和手机等。越来越多的消费者开始习惯网上银行、网上支付和网络休闲，更有甚...

路由器、交换机及防火墙漏洞的发现与防范方法

远程连接到网络资源已经成为现代企业很多员工的工作需要 。无论这种连接是通过VPN、远程桌面还是安全壳(SSH)进行的，这种连接将不可避免地穿过装载着路由器、交换机和防火墙的网络，而这些设备...

低配置照样玩转 128M内存狂飙卡巴斯基

WindowsXP的优化     首先，我们要对XP的“自动更新”功能下手，“自动更新”是Windows XP为了方便用户升级系统而推出的一种新功能，这种功能可以在微软推...

缓冲溢出的基本知识

在这份指南中，我们将讨论什么是缓冲溢出和怎么样去使用它.你必须了解C语言和汇编语言，如果熟悉GDB的话更加好，当然这不是很必要的。 (Memory organization)存储器分为3个部分 1. ...

黑客实战:一次简单脚本攻击实例

一、开篇 今天闲着无聊，到本地区的一个社区上转转，那些人污言秽语的，有个帖子还侵犯了一个朋友的版权，跟贴说了那人几句，管理员也不管，实在看不下去了，打算给管理员盆冷水清醒清醒 。 ...

绿盟科技安全小组设置当前网络威胁为3级

目前已经有利用MS05-039中的漏洞进行传播的蠕虫（Zotob.A）出现，此蠕虫利用TCP/445端口进行传播，请在防火墙上暂时过滤此端口并尽快安装相关安全补丁。 MS05-043中的安全漏洞也很可...

Microsoft Windows hxvz.dll ActiveX控件堆溢出漏洞（MS08-023）

受影响系统： Microsoft Windows XP SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Wi...

安全狗下添加用户的另一方法(大量操作实现突破)

前几天发现的，略无语，因为简单到 。 。 直接在命令行下使用 for /l %i in (1,1,1000) do @net user test test /add&@n...

分层架构企业网络安全的研究

一、概述 网络的最大价值，在于信息化的应用  。由于企业信息化与企业生产经营已经逐渐成为一个共同的载体，企业对网络安全保护的要求日益提高  。当前利用结构化的观...

防止cain挂掉目标服务器的注意事项

当然 你要选择尽量少的服务来嗅.比如你要嗅目标的1433及80.那你嗅其他的就没用罗. 　　这样会大大的减少当机的可能性.如果看到丢包率超过10%就要注意啦. 赶紧停掉,看看那里没设置好吧. 　　如...

配置PIX双机failover的要点

1，搞清关于“主”“备”的几个概念： Failover Link Failover Link用于设备间相互沟通彼此的工作状态，Failover link上传递的信息包括： o 设备的当前状态 (act...

mcafee 服务器防挂马设置图解教程

我服务器上用了一段时间了 可以用到生产环境.     ...