结合自己的实际经历说说WEB安全之XSS是如何发生的又如何预防

2016-4-10 / 4 评论 / 6593 浏览 / Mrxn

定义(来自百度百科): 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻...

95533发来积分换现金短信--小把戏-已举报-已日

2015-9-26 / 6 评论 / 7255 浏览 / Mrxn

今天媳妇儿手机收到一条95533发来的短信,说什么积分兑换,我媳妇儿还好很聪明,说自己的工行卡压根儿就没用过 -_-| 估计骗子也是醉了 哈哈  我也是醉了:看着网址,就不是官方的。。。可是我还是好奇。进去看了一下: 看到底部的那个51la统计代码图片,我就笑了。。。工行官方的网站会这样的页面么!。。。...

浅谈HTTPS链接的重要性和安全性

2015-9-17 / 4 评论 / 6689 浏览 / Mrxn

今天我的一位仁兄被人误导说HTTPS慢,就这个问题我们来浅谈下HTTPS的速度和安全。首先HTTPS是一个优良而且很棒的协议,他为服务器和客户端之间的数据传输提供了强有力的保障。浅谈HTTPS的速度和安全 浅谈HTTPS链接的重要性和安全性 事实证明HTTPS速度是快的 Mrxn通过实验测试结果证明,HTTPS确实需要CPU来...

emlog 使用ssl证书开启HTTPS安全访问三步曲

2015-9-17 / 38 评论 / 25589 浏览 / Mrxn

最近在研究ssl,所以就给自己得博客使用了ssl,拿自己的博客实战研究ssl,哈哈,废话不说,如果你也想体验一下ssl,那就开始吧: 阅读全文>>

从12306信息泄露了解何为黑客撞库拖库洗库

2014-12-27 / 0 评论 / 7591 浏览 / Mrxn

12月25日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据悉,此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此,中国铁路客户服务中心回应称,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非...

插入U盘自动攻击:BadUSB原理与实现(含视频)

2014-12-17 / 0 评论 / 10043 浏览 / Mrxn

漏洞背景“BadUSB”是今年计算机安全领域的热门话题之一,该漏洞由Karsten Nohl和Jakob Lell共同发现,并在今年的BlackHat安全大会上公布。BadUSB号称是世界上最邪恶的USB外设。笔者使用他们的代码做了个类似的U盘,用户插入U盘,就会自动执行预置在固件中的恶意代码,下载服务器上恶意文件,执行恶意操作。注意,这里的U盘自动运行可不...

deDacota:通过自动化分离数据和代码防御服务端XSS漏洞

2014-12-16 / 0 评论 / 7882 浏览 / Mrxn

原文题目:deDacota: Toward Preventing Server-Side XSS via Automatic Code and Data Separation 原文地址:http://cs.ucsb.edu/~adoupe/static/dedacota-ccs2013.pdf 以下为译文: ...

以人为本,知己知彼再谈APT攻击与防范

2014-12-15 / 0 评论 / 7020 浏览 / Mrxn

为何会有APT? 2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。 在木马病毒泛滥时代的地下经济驱动中,各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和...

Power Pwn: a DARPA-funded hack machine

2014-12-12 / 0 评论 / 6223 浏览 / Mrxn

Power Pwn是一个完全集成的,企业级的渗透测试平台。继承了流行的PWN插件,该器件具有高度集成的模块化硬件设计。支持并资助由国防研究计划局(DARPA),它的目的是提供企业和安全意识的个体更便宜和更容易的手段来抵御黑客自己,为他们提供同一套工具,他们的数字袭击者。用一个简单的浪涌保护器的外观,电源PWN不会把任何头,但裂开其谦逊的外壳,你会发现你需要运...