标签: 跨站攻击

跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

 2016年3月21日

跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估。在“开放式Web应用程序安全项目”(OWASP)的榜单中,CSRF(又称XSRF)就位于前10的位置。

 栏目: 安全  Tagged: , , , ,

黑客流派中 Web 攻击的地位

 2014年8月29日

如果,我们把网络空间分为三大组成部分(云->管->端)来看的话,现在的云几乎都是基于 Web 的成熟协议来对外提供服务的,比如 HTTP 协议,最流行的传输格式是 JSON,其次如 XML 等。

 栏目: 安全  Tagged: , , ,

以新浪为例浅谈XSS

 2014年1月12日

随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。

 栏目: 安全  Tagged: , , ,

打破双因素认证神话 XSS拿下“遇见”后台

 2013年1月30日

双因素认证并非神话:因拖库泄露密码等事件的影响,网络游戏、网银或后台登陆均开始采用U盾、数字令牌等。 乌云上有起直打软肋的案例,说到底:登陆的安全级别高了,但之后的认证信息依然脆弱容易泄露,黑客换了个角度就又是一轮血雨腥风。 可以看到,“遇见”管理后台采用了UKEY方式,一般而言,没有UKEY是无法登录的。 然而……屌丝黑客还是进来了……为了白富美! 信息足够详细……活动区域赫然在目! 当然,有些...

 栏目: 业界  Tagged: , , , , , ,

80sec:深掘XSS漏洞场景之XSS Rootkit

 2011年12月7日

众所周知XSS漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议。XSS漏洞类型主要分为持久型和非持久型两种:
1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。
2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存。
3. DOM XSS漏洞,也分为持久和非持久型两种,多是通过javascript DOM接口获取地址栏、referer或编码指定HTML标签内容造成。
4. FLASH,PDF等其他第三方文件所造成的特殊XSS漏洞,同样按应用功能也分为持久和非持久型。

 栏目: 安全  Tagged: , , ,

最新:2011年6月28日晚新浪微博攻击事件分析

 2011年6月28日

一、事件的经过

新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。

事件的效果:

 栏目: 安全  Tagged: , , , ,

新浪微博被XSS攻击 中毒用户自动发布病毒链接

 2011年6月28日

凤凰网科技讯6月28日晚间消息,今天晚上新浪微博出现部分用户大量“刷屏”情况,业内人士确认是“微博病毒”爆发。

新浪微博刷屏病毒链接

据了解,用户中毒后会在短时间内自动发布“建党大业中穿帮的地方”、“3D肉团团高清普通话版种子”等大量带链接内容,同时会向粉丝发送带病毒链接的私信,中毒用户反映,粉丝

 栏目: 业界  Tagged: , , , , ,

[转]拿站的黑阔你们伤不起啊

 2011年4月6日

我日,谁写的太他妈有才了。
黑站跑单的你们伤不起啊!好歹你们都有份正常工作啊。你妈啊!!我们连小学都没毕业啊!
自己找脚本漏洞要掌握多少东西你知道嘛?????
光脚本就至少要精通asp jsp .net php!!!java啊!
什么包含,注射,执行,安全模式啊。
mssql mysql oracle db2 sybase啊!!
一条select都有好多种写法啊!!!order by比JB毛还乱啊

 栏目: 文摘  Tagged: , , ,

CSRF攻击的原理解析与对策研究[转载]

 2010年4月25日

  1、引言

  跨站点请求伪造(Cross—Site Request Forgery)。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。

  2、现有的Web安全缺陷

  2.1 Web安全策略

  与CSRF有关的主要有三个Web安全策略:同源策略、Cookie安全策略和Flash安全策略。
...

 栏目: 安全  Tagged: , , , , ,

XSS攻击防御技术白皮书

 2010年4月2日

  1 背景知识
  
  1.1 什么是XSS攻击
  
  XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。
...

 栏目: 安全  Tagged: , , , , ,

人民网“微博”频道上线首日即出现严重安全问题

 2009年12月22日

QQ有朋友发给我一个地址http://t.people.com.cn,是人民网的微博频道,貌似今天刚开业?结果打开后发现…… 再刷新一下: 看下下面的内容: 跨站……人民网微博频道很郁闷?抓图时间:2009年12月22日15:15,截止到15:25,已经不再弹出窗口,人民网行动够快…… 相关:抗议MSN数码IT频道转载本博文章并抹去水印的行为

 栏目: 业界  Tagged: , , , ,