Web Security/Javascript
文章平均质量分 61
iJuliet
这个作者很懒,什么都没留下…
展开
-
JavaScript解释器的设计与实现
学习自华科张军林等老师的论文《JavaScript语言解释器的设计与实现》,思路很好,跟大家分享一下,共同进步哦 1. 词法分析以嵌入在html文本中的JS脚本程序为输入形成单词链表,以便语法分析。单词链表为双向链表。 2. 语法分析以单链表为输入,依JS语言的语法规则形成中间数据结构。中间数据结构能够反映出程序语句描述的数据处理流程。 3. 解释执行器以中间数原创 2008-12-20 13:50:00 · 10230 阅读 · 1 评论 -
API HOOK的实现原理
一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是机器指令(听上去真是有点恐怖,不过这是事实)。当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了一种比较稳健原创 2008-12-20 13:44:00 · 1340 阅读 · 0 评论 -
注入,动态生成及混淆的恶意代码的检测
DOME(Detection of Maliciious Executables)它是一种检测宿主可执行文件中的恶意代码的技术。DOME通过表态分析确定软件中产生系统调用的位置(虚拟地址),然后再监视软件运行并难所有观察到的系统调用都是从静态分析时获得的地址处产生的。这种技术简单,易行,实用,而且对注入,动态生成以及混淆的恶意代码都非常有效。1. 注入式的代码 - 运行期间注入某个进程原创 2008-12-19 23:21:00 · 1610 阅读 · 0 评论 -
XSS 跨站脚本攻击
Case I: 完整的XSS worm入侵实现流程 Step 1: 先测试’’;:!--"=&#{()} // 等字符。结果 过滤了"javascript","&"和"/"这两 个转义字符串,因此HTML转码和CSS样式转码已无效,只好从属性和事件入手. Step 2: 测试常用属性expression和两个事件onerror/onload。结果没有过滤字符哦Step 3:原创 2008-12-19 23:42:00 · 1575 阅读 · 0 评论 -
Ajax跨域访问方法大全
Case I. Web代理的方式 (on Server A)即用户访问A网站时所产生的对B网站的跨域访问请求均提交到A网站的指定页面,由该页面代替用户页面完成交互,从而返回合适的结果。此方案可以解决现阶段所能够想到的多数跨域访问问题,但要求A网站提供Web代理的支持,因此A网站与B网站之间必须是紧密协作的,且每次交互过程,A网站的服务器负担增加,且无法代用户保存session状态。 Cas原创 2008-12-19 23:47:00 · 1773 阅读 · 2 评论 -
加密 VS 混淆 VS 动态代码混淆
加密加密主要是为了防止未经授权的使用,对这种情况即使破解了加密,也只能非法使用,并不一定能获得软件的代码逻辑;但对于脚本来说,防止对代码进行访问的措施,也属于加密,这时破解了加密就获得了代码; 混淆混淆是在无法阻止他人获取代码的情况下,采取的保护代码的逻辑不被他人理解的措施;对于混淆的代码,他人很难理解,无法进行修改和重新利用; 对于涉及到JS的系统的加密,我们建议不要原创 2008-12-20 13:45:00 · 2109 阅读 · 0 评论 -
Boyer-Moore 经典单模式匹配算法
O了O了!我现特想说:一个人Boyer-Moore都敢闹明白,他还有什么不敢的呢^_^ 经典单模式匹配算法:KMP、BM;经典多模式匹配算法:AC、Wu-Manber。貌似实用中,KMP跟C库strstr()效率相当,而BM能快上3x-5x。于是小女不才花了小天的功夫来研究这个BM算法。BM如何快速匹配模式?它怎么跳跃地?我今儿一定要把大家伙儿讲明白了,讲不明白您佬跟帖,我买单,包教包会。原创 2009-05-19 11:34:00 · 35394 阅读 · 41 评论 -
AC 经典多模式匹配算法
今天说说多模式匹配AC算法(Aho and Corasick),感谢追风侠帮忙整理资料,while(1) {Juliet.say("3Q");}。前面学习了BM、Wu-Manber算法,WM由BM派生,不过AC与它们无染,是另外一种匹配思路。 1. 初识AC算法Step1: 将由patterns组成的集合(要同时匹配多个patterns嘛)原创 2009-05-23 15:27:00 · 21277 阅读 · 8 评论 -
Wu-Manber 经典多模式匹配算法
多模式匹配的用法,多了去了!DB中对selected patterns进行数挖;安全中对suspicious keyword进行匹配;各种日期形式2009-5-20,2009年5月20日,May,20的搜索;DNA配对;各种replace功能;等等,太口水了枚举这个。 Wu-Manber基于BM算法思想,如果您佬BM还没OK,请参照我的BM日志搞搞清楚先。 提原创 2009-05-21 14:56:00 · 21872 阅读 · 7 评论