- 博客(4)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 以太坊区块链安全学习
一、区块链安全学习参考1、https://cryptozombies.io/zh/course2、https://ethernaut.zeppelin.solutions/ 这个区块链CTF3、https://blog.trailofbits.com/2017/11/06/hands-on-the-ethernaut-ctf/4、漏洞:https://medium.com/@...
2018-04-27 10:01:04
1936
原创 flash(swf)安全总结
前言:Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发然而现在还有许多视频站正在使用flash作为播放器,故本文还是归纳了部分利用flash(swf)的姿势,与大家交流0、flash(swf)以宿主域出发(而不是使用域)判断 是否为跨域请求。A站上的flash...
2018-04-23 15:25:30
2551
原创 DNS Rebinding绕过浏览器SOP同源策略
看了大佬的以太坊生态缺陷导致的一起亿级代币盗窃大案,顿时感觉错过了一次财富自由的机会,然而机会总是留给有积累的人互联网产品的开发往往遵循“小步快跑”的原则,先落地一个功能健全的“孩子”,然后看着她慢慢长大,并辅以各种优化、各种补丁此案的关键是区块链RPC接口监听在公网,且没有任何鉴权机制,只能说以太坊“尚在幼年”,安全问题正在引起重视。此案缓解措施:监听端口绑定在本机地址,而不是公网地址然而并...
2018-04-23 15:06:24
1377
原创 Access-control-allow-origin:*并没有实际危害(更新)
一、网站一般在需要共享资源给其他网站时(跨域传递数据),才会设置access-control-allow-origin HTTP头。而跨域传递数据也可以使用jsonp方式二、如果www.a.com域设置了access-control-allow-origin:* http头, 其他任何域包括www.b.com域的js就可以使用Ajax技术读取到www.a.com域的数据三、根据w3...
2018-04-23 14:52:45
63303
4
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人