- 博客(83)
- 资源 (4)
- 收藏
- 关注
RSS订阅转载 Padding Oracle Attack实例分析
转自:http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html,谢谢老赵!cookie在保证一段时间的有效登录时,估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞,我看1 不用cbc的加密方式。2 随机加密密钥。3 格式错误,比如padding错误,并不明显提示出来。
2011-11-24 00:10:26
1649
转载 浏览器相关的几个安全配置
header的扩展属性header中有些扩展属性可以用来保护站点,了解它们是有益处的X-Frame-Options这个属性可以避免网站被使用frame、iframe的方式嵌入,解决使用js判断会被var location;破解的问题,IE8、Firefox3.6、Chrome4以上的版本都支持X-XSS-Protection这是IE8引入的扩展h
2011-10-27 13:47:54
687
转载 openssl生成https证书
摘自http://notech.blog.sohu.com/108540014.html1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key
2011-08-24 20:08:58
657
原创 Cross Iframe Trick和IFrame的Security属性
使用IE的IFrame>的Security属性,设置为restricted后,frame中的脚本将不能执行(仅限于IE)。如: iframe security="restricted" src="http://www.somesite.com/somepage.htm">Cro
2011-07-25 15:19:02
3375
转载 Internet Explorer 包含五个预定义区域
Internet Explorer 包含五个预定义区域:“Internet”、“本地 Intranet”、“受信任的站点”、“受限制的站点”和“我的电脑”。 "您只能从 Microsoft Internet Explorer 管理工具包 (IEAK) 配置“我的电脑”区域(该区域包含本地计算机上的文件);浏览器界面中不提供这些设置。除非您的组织有特定的要求,否则管理员应该使用此区域的默认设置。过低的安全设置可能导致安全风险,而过高的安全设置则会影响功能。"四川北大青鸟老师指出.
2011-03-28 17:22:00
1123
原创 如何安全地嵌入第三方js
转载: http://www.baiduux.com/blog/2010/07/07/js-safe/ http://leenjewel.blog.163.com/blog/static/6019379220091090727385/ xss是前端经常会遇到的问题,由于页面中的js都执行在同一个上下文中,意味着一旦出现xss漏洞,攻击者就能享有和页面其它部分js同样的权利,能做任何事情 所以一般情况下我们都会对用户输入进行过滤,禁止任何js的执行。但有时由不得不嵌入第三方js,如Google Ad
2011-03-28 13:52:00
3222
原创 如何禁止浏览器自动完成(Turn Off auto text complete)
转自:http://blog.csdn.net/tohmin/archive/2010/07/20/5749271.aspx 如何禁止浏览器自动完成(Turn Off auto text complete) 收藏 关于如何禁止浏览器自动完成功能,大概有两种方式,第一种是通过浏览器的设置来完成,第二种是通过编程的方式, 即HTML FORM的autocomplete属性来完成。 1. 浏览器方式 以IE浏览器为例,(由于我用的是英文版,只能以英文版来叙述了,不好意思。)点击 Tools ->
2011-02-27 10:47:00
886
原创 使用加密算法不当的一些原则
从《软件安全的二十四宗罪编程瑕疵与如何纠正》第21章翻译而来。 1 不能使用DES算法。密钥太短,只有56位。 2 112位的3DES也不推荐使用。它在FIPS(Federal Information Processing Standards)中已经失去地位了。 3 RSA、DH算法中密钥材料长度应该大于1024. 4 不推荐使用流加密算法,尤其是RC4(如果存在两段明文相同,则XOR就会成为两端明文的XOR).一般可以用AES+分组密码转化为流模式的方式模拟。 5 使用Hash时不要使用两个变量
2011-02-27 00:22:00
931
转载 面对IE保护模式的开发者生存之道
<br />转自:http://tech.it168.com/d/2007-12-05/200712041740771.shtml<br /> <br /> 在微软开发者大会上看到Vista和IE 7之后,我已经表示它们的保护模式不仅仅阻挡了间谍软件,也让合法的IE插件变得非常困难。当我试用了Vista beta 2之后,我体验到了这种困难——我的产品之一是一个IE工具栏,保护模式破坏了它的许多主要功能,因为这个工具栏需要与IE之外的另一个进程进行通信。经过多次尝试,我最终让这些功能又可以正常使用了。关于
2011-02-21 15:43:00
2054
转载 面对IE保护模式的开发者生存之道
<br />转自:http://tech.it168.com/d/2007-12-05/200712041740771.shtml<br /> <br /> 在微软开发者大会上看到Vista和IE 7之后,我已经表示它们的保护模式不仅仅阻挡了间谍软件,也让合法的IE插件变得非常困难。当我试用了Vista beta 2之后,我体验到了这种困难——我的产品之一是一个IE工具栏,保护模式破坏了它的许多主要功能,因为这个工具栏需要与IE之外的另一个进程进行通信。经过多次尝试,我最终让这些功能又可以正常使用了。关于
2011-02-21 15:42:00
906
转载 面对IE保护模式的开发者生存之道
<br />转自:http://tech.it168.com/d/2007-12-05/200712041740771.shtml<br /> <br /> 在微软开发者大会上看到Vista和IE 7之后,我已经表示它们的保护模式不仅仅阻挡了间谍软件,也让合法的IE插件变得非常困难。当我试用了Vista beta 2之后,我体验到了这种困难——我的产品之一是一个IE工具栏,保护模式破坏了它的许多主要功能,因为这个工具栏需要与IE之外的另一个进程进行通信。经过多次尝试,我最终让这些功能又可以正常使用了。关于
2011-02-21 15:41:00
699
原创 IE 8 安全和隐私
转自:http://msdn.microsoft.com/zh-cn/library/cc288472(v=VS.85).aspx 安全和隐私 以下功能使 Web 浏览更加安全: 点击劫持 (Clickjacking) 防御: 某些黑客会尝试诱骗用户去单击一些看起来像是执行安全或无害功能的按钮,但执行的却是不相关的任务。 点击劫持者 (Clickjacker) 通过使用透明框架,将特定的 UI 元素用令人误解的文本和图像加以覆盖,从而将恶意代码或伪装代码 (Redress) 嵌入到用户界
2011-02-20 21:13:00
1199
原创 点击劫持 Framekiller--恶意frame导致CSRF攻击
如果页面被恶意iframe后,可能导致csrf攻击。一般的解决方法如下: 当然,这些解决方法可能是有缺陷的,比如浏览器没有开启执行JS,或者有缺陷等。 IE 8可以通过设置下面的HTTP Header: 点击劫持 (Clickjacking) 防御: 某些黑客会尝试诱骗用户去单击一些看起来像是执行安全或无害功能的按钮,但执行的却是不相关的任务。 点击劫持者 (Clickjacker) 通过使用透明框架,将特定的 UI 元素用令人误解的文本和图像加以覆盖,从而将恶意代码或伪装代码 (Redress
2011-02-20 20:39:00
2755
1
原创 SSL HTTPS 会话共享。
原本以为SSL的数据会话只能有一个数据通道,但是后面发现SSL上下文可以重用,因此,这里肯定是可以多通道的。我说怎么随便访问一个HTTPS网站就能开启多个窗口。会话只是一个概念, 没有在报文中有具体的结构。因此没有工具,能看到会话是否共享了。 IBM的一个链接上给出一些实现和解释。 http://publib.boulder.ibm.com/infocenter/tpfhelp/current/index.jsp?topic=/com.ibm.ztpf-ztpfdf.doc_put.cur/gtps5/
2011-01-29 20:48:00
805
转载 Java静态检测工具的简单介绍
<br />转自:http://qa.taobao.com/?p=9015 淘宝QA<br /> <br />静态检查:静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人<br /> 工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。<br /> 代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和<br /> 设计的一致性, 代码对标准的遵循、可读性,代码的逻辑表达的正确性,代<br /> 码结构的合理性等方面
2011-01-17 22:42:00
713
原创 BTT、Spring、Struts的理解
关于这几个框架,一致缺少笔记性的输出。Spring其实并不是为了web而生的,它是一种针对业务处理的框架。主要利用了IOC以及AOP(动态代理)的思想。Struts则是为了MVC而生的。很多好的想法是大量实践中抽象的。BTT是笔者经常用到框架,也是基于MVC的,常用于银行等大型项目。个人觉得Spring、Struts具有较强的变通性。
2011-01-12 17:28:00
2931
2
原创 json劫持
竟然会有这个。估计很多地方都没不会注意这个。 文章来源:http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx 道理大约说下。黑客在自己的页面中重定义了array函数。然后利用了When you visit the page, you will see the following alert dialog…
2010-12-19 22:05:00
1183
转载 Java/J2EE中文问题终极解决之道
<br />自己不清楚,问了几个人,也不够清楚,多数应用在架构上已经整理好了吧,不需要太多人操心。呵呵。<br />原地址:http://www.jdon.com/idea/chinesejava.htm<br /> <br />Java中文问题一直困扰着很多初学者,如果了解了Java系统的中文问题原理,我们就可以对中文问题能够采取根本的解决之道。<br /> 最古老的解决方案是使用String的字节码转换,这种方案问题是不方便,我们需要破坏对象封装性,进行字节码转换。<br /> 还有一种方式是对J2
2010-12-16 09:39:00
350
原创 Null Byte Injection
以前不知道,记下来。 Perl PHP Null Byte Injection rain.forest.puppy outlined in Phrack issue 55 the uses of NUL Byte Injection within Perl, and how these could be exploited. The results were very similar in PHP. An example of a NULL byte vulnerable PHP script is
2010-08-28 23:03:00
641
原创 读《The.Web.Application.Hackers.Handbook》
Authentication与Access Control。我一直觉得这两个安全概念是一样的,结果书上,或者很多书上,都区分了两者。Authentication就是识别身份,Access Control则是访问控制。一般来说,我认为两者是同时需要同时发挥作用。input validation感觉每一层的安全界的出口处进行validate是最好的。页面上JS检测。JSP在写入数据库,或者返回页面时在validate。这样其实不错。这个挺有意思,如果程序中过滤
2010-07-24 18:47:00
710
原创 读《java安全性编程实例》
<br />总的看来,Java体系对安全以及安全编程考虑的很周到,这点我觉得非常难得。<br /> <br />凯撒密码-- 一种遥远简单的密码体系。简单的说来就是移位。<br />ECB -- 对明文分组的不同处理方式形成了不同的加密方式,本章前面各节的程序中没有指定加密方式,默认的加密方式是ECB(Electronic Code Book),它对每个明文分组独立进行处理。<br /> <br />CBC(Cipher Block Chaining),它先加密第一个分组,然后使用得到的加密第二个分组,加密
2010-07-12 16:01:00
566
原创 P3P
P3P是万维网联盟(W3C)公布的一项隐私保护推荐标准,旨在为网上冲浪的 Internet用户提供隐私保护。现在有越来越多的网站在消费者访问时,都会收集一些用户信息。制定P3P标准的出发点就是为了减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑。P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如 “本网站将监测您所访问的页面以提高站点的使用率”或“本网站将尽可能为您提供更合适的
2010-07-04 00:20:00
708
转载 Windows 硬件体验 Device Stage Windows Update
Device Stage接口是Devices and Printers接口的扩展。它就像一个主页,用于选择兼容设备。在将这些设备连接到计算机时,Device Stage会自动打开并显示可在Windows中使用该设备执行的各种任务,还会显示有关此硬件的信息。它会收集设备执行的可使用的所有任务,并将其放在一个位置,以更方便地查找和完成这些任务。 对于支持的设备类,Windows 7 中已经内置了基本的 Device Stage 体验。基本体验用一个常见图标显示所连接设备的类,并为该设备类提供了一组预定义的任务。
2010-06-12 11:20:00
3179
原创 云安全
云安全与云计算息息相关。云计算(Cloud Computing)是网格计算(Grid Computing)、分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility Computing)网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机技术和网络技术发展融合的产物。这些词汇很概念性,听起来较为模糊。 但是云安全又是什么呢?对
2010-06-04 23:14:00
610
原创 java plug in
作为插件技术,大家恐怕最熟悉的莫过于Activex,但是其仅与IE平台绑定,不具有跨平台跨浏览器性能。而对于flash,Silverlight,java plug in而言,它们的调用过程其实本身都是调用各自的跨平台、浏览器的插件,但是这些插件又是一个完整的平台。 作为10年前发明了RIA的公司,Sun 的 Java 并没有在RIA开发领域成为最具统治力的技术。根据互联网上某位大牛kaka_nil的说法,Java插件的失败有以下几个原因: 1,插件和小程序是在大多数人使用拨号连接网络的时代被公众认
2010-06-04 01:09:00
2386
原创 tomcat 全局参数过滤
因为输入参数的多样性,我一直怀疑能否做全局性的参数过滤。没想到看tomcat的安全防护时竟然有这个建议。这本书可以在百度文库中搜到。 该书说道:Tomcat Valve可将程序代码插入Tomcat 中,并让该程序代码在不同的请求及响应处理阶段执行,而Web应用程序的内容则在中间阶段执行(即,在处理请求之后,处理响应之前)。Valve 不是Web 应用程序的一部分,而是可以当成Tomcat servlet container 的一部分来执行的程序模块。Valve 的另一项优点是,Tomcat 的系统管理员可
2010-06-02 23:43:00
1417
原创 WASC Threat Classification 安全威胁分类
对于初次学习安全知识的人而言,学习安全威胁的分类无疑是非常重要的内容。 OWASP的webgoat项目也对一些安全问题进行了分类,但是其本意还是作为一种安全学习的范例,而不是作为安全问题分类独立存在。 Web Application Security Consortium(WASC),是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。WASC 组织的关键项目之一是“Web 安全威胁分类”,英文Threat Classification”,也就是将
2010-06-01 22:35:00
6540
原创 utf-8 和 GBK ——字符集导致的浏览器跨站脚本攻击
这两个概念总是会在不经意之间又被提及,很遗憾的是,我总会忘记他们具体的内容。 这次当我这次需要了解字符集导致的浏览器跨站脚本攻击时,看到gb2312和GBK字符集在IE处理这些宽字符集的时候存在问题,可导致程序的一些安全规则被Bypass,引发严重的跨站脚本安全漏洞,又不甚理解,为什么UTF-8不会产生如此问题。 先讲下原因: 1 Bypass某些js的检查规则 〈HTML> 〈HEAD> 〈TITLE>80sec test〈/TITLE> 〈meta http-equiv="Co
2010-05-31 23:09:00
1186
原创 PCI 资料安全标准
2005年,维萨(Visa)、万事达卡(Mastercard)、美国运通、发现金融服务公司LLC和JCB等五家国际公司联合起草了支付卡行业(PCI)数据安全标准(DSS)。支付卡产业的各个参与机构均应该考虑实施符合性工作,即使是中小型的商户也应该考虑标准的符合性建设,特别是所有的商户(merchants)和服务提供商(Service providers)需要符合该标准的要求。各支付品牌(
2010-05-29 10:27:00
1524
原创 Web防火墙 WAF
第 1 章 背景及目的 1.1 背景 1.1.1 Web安全现状 随着互联网技术与应用的不断发展,新的互联网业务增长点与商业模式不断产生,已深入到社会经济、政治等各个层面。因此,各类组织所面临的Web 应用越来越复杂(如图1所示),安全问题以及衍生出的维护、管理问题也日益突出。 图1 web应用层环境 目前针对Web的攻击,主要包括黑客攻击、蠕虫病毒等,以及各种混合攻击,其对信息网络
2010-05-21 22:46:00
6917
1
原创 ESAPI WAF
这是OWASP ESAPI 项目提供的一个开源WAF,基于J2EE实现,其主要利用XML的配置方式驱动防火墙。安装时,在Web.xml中将ESAPIWebApplicationFirewallFilter配置为filter,在应用程序之前和之后处理输入和输入。 TheESAPI Web Application Firewall (WAF) is driven by an X
2010-05-21 22:02:00
2102
原创 代码签名 signcode.exe authencode
签名常用的四个软件makecert,cert2spc,signcode,chktrust 微软提供了专用的文件签名工具(Signcode.exe)。运行Signcode.exe 后,进入代码数字签名向导界面,按照界面提示即可完成数字签名。我们可以使用Windows命令程序chktrust.exe来查验已经签名的代码信息。对经过合法数字签名后的代码进行验证,其提示信息包括软件
2010-05-20 21:47:00
6036
2
原创 日志截断
详细见:http://www.webappsec.org/projects/articles/082905.shtml 日志截断导致用户访问日志中没有保留完整的url信息,因此黑客攻击将有可能被忽略。需要利用IIS等服务器中相关的插件或者是补丁,规定相关url信息的长度,对超长的url,服务器限制访问。
2010-05-20 00:03:00
561
转载 关于Domain Contamination
转自:http://www.webappsec.org/projects/articles/020606.shtml 文章中对于一些domain被劫持后恢复后依然可能存在攻击情况作了分析,如缓存在服务器和浏览器、代理服务器中的相关页面。文章提出了一些解决方案,比如,对于页面忽略某些header(if-modify-since等),这些主要是解决清缓存。或者邮件,邮件中通过下面的方式,解决浏
2010-05-19 23:54:00
505
原创 DOM-Based XSS
无论怎样,DOM 的XSS攻击需要小心再小心,最好能在客户端做一个过滤。 这个在服务器端解析时,竟然只能解析一个name? http://www.vulnerable.site/welcome.html?foobar=name=alert(document.cookie)&name=Joe #号后面的某些浏览器传递不到服务器,但是在某些情况下,url解析后,恶意代码
2010-05-18 20:55:00
3285
转载 转义在防止SQL注入中依然不够
转自:http://www.webappsec.org/projects/articles/091007.shtml mysql_real_escape_string对于防止SQL注入还是不够的。对于某些参数的值来说,用引号包含起来是可以的。但是对于某些,比如columns, tables or databases,这些值不能用引号将值包含起来,鉴于mysql_real_escape_st
2010-05-17 21:28:00
2383
转载 双重签名
找到真不容易了。转帖:http://www.cfca.com.cn/zhishi/zhishi-001.htm 5.双重数字签名 定义:有的场合需要寄出两个相关信息给接收者,接收者只能打开一个,而另一个只需转送,不能打开看其内容。 (持卡人向商户提出订购信息的同时,也给银行付款信息,以便授权银行付款,但持卡人不希望商户知道自己的账号的有关信息,也不希望开户行知道具体的消费内容,
2010-05-15 15:32:00
6808
1
原创 YUI Compressor源代码分析
YUI Compressor是雅虎开发的JavaScript 、CSS的开源压缩工具。该工具的开发语言是Java,需要运行JRE1.4以上。YUI Compressor利用了Mozilla基金会提供的JavaScript引擎Rhino。JavaScriptCompressor.java是比较重要的文件,主要压缩流程都在这里。JavaScriptIdentifier.ja
2010-05-11 20:30:00
1249
ThinkSNS源码下载
2009-11-01
sslstrip-0.2
2009-11-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人