Web Security
文章平均质量分 77
jinhuiyu
IT公司面试手册站长
http://www.mianwww.com
关注Java、 Web, 从事对美软件外包
新浪微博:http://t.sina.com.cn/mianwww
展开
-
跨站脚本攻击之DoS脚本
alert(DoS);原创 2009-03-19 02:35:00 · 915 阅读 · 0 评论 -
请看好你的firefox!别让它帮你泄密
很多人在访问网站的时候就喜欢使用浏览器记录密码的功能,以后访问网站就可以直接登录不用输入密码了,不过使用firefox的话就很可能就把你的密码完全暴露给他人,别人只需稍微用一下社会工程学就可以盗取你所有保存的密码了,如果你不信可以按照如下步骤看看你曾经保存过的密码:1. 打开你的FireFox,点击Edit - Preferences - Security, 点击Saved Password,原创 2010-01-05 17:46:00 · 6258 阅读 · 45 评论 -
关注Security的人应该经常去的一个网站
http://nvd.nist.gov/NVD是美国政府提供的一个软件漏洞数据库,其中包括安全检查单,软件缺陷,产品名称和漏洞影响等等信息。网站每天都更新很多新的漏洞信息,如常用的Windows, Linux操作系统最新漏洞,浏览器最新漏洞以及开发人员常用的一些开源产品如wordpress, web server等等。这个数据库也提供了目前最常见的攻击方法及如何防范的信息,具体可以原创 2010-03-16 16:58:00 · 2741 阅读 · 0 评论 -
互联网最常用的密码和中国人最常用的密码 看看你的密码在不在里面
如果你是黑客,可以先把这些密码试一遍再寻求技术破解,免得浪费时间如果你的密码是下列中的一个,抓紧改一下吧,上面的黑客马上就要破解你的密码了 呵呵 全球最常用的密码TOP 500: NOTop 1-100Top 101–200Top 201–300Top 301–400Top 401–5001123456porschefir原创 2009-11-09 21:32:00 · 11924 阅读 · 6 评论 -
如何开发安全的AJAX应用
如何开发安全的AJAX应用 AJAX技术已经是现在最流行的Web应用开发技术了,但是与此同时,Web应用也成了这个IT架构中安全最薄弱,最容易受到攻击的部分,AJAX应用相比较与传统的Web应用,大大增加了客户端与服务器之间的交互,同时也使得一些后台的业务逻辑接口暴露给了客户端,如果服务器端没有足够的保护或者没有对客户端请求进行合法性校验,攻击者就会趁虚而入,进入系统内部进行破坏。开发人员原创 2009-10-27 10:03:00 · 3721 阅读 · 1 评论 -
如何进行Web应用的安全测试和输入校验
在Web应用占主流的今天,主流的黑客也都把攻击的目标转向了Web应用,SQL Injection, XSS... 各种攻击技术层出不穷,但是苍蝇不叮无缝的蛋,这么多种攻击技术无非都是把有毒的东西送到了蛋的内部。所以说只要输入校验做的好就可以阻止90%-95%的攻击。如何做输入校验才能尽可能的弥补所有的缝呢?下面这几个注意事项或许可以帮你一些 1. 找到Web应用所有的输入点,找到所有的能接原创 2009-10-22 16:16:00 · 4745 阅读 · 9 评论 -
网络安全之社会工程学
曾经听到过一个笑话:一个很厉害的黑客跟一个电脑菜鸟吹牛说自己可以在一个小时内让一个网吧所有的电脑自动关机,电脑菜鸟听到后说自己可以在三分钟之内让网吧所有的电脑关机,黑客大笑这个菜鸟不懂技术瞎吹牛,于是两个人就开始打赌了,黑客进入网吧找了台电脑,噼里啪啦敲了一个小时,网吧所有的电脑都自动关机了,于是他很得意洋洋的找到了这个菜鸟向他炫耀了自己的成功,菜鸟微微一笑,也走进了网吧,他偷偷的跑到原创 2009-10-21 14:37:00 · 7059 阅读 · 1 评论 -
如何用SQL注入攻击登陆界面
适用范围: 1. 如果一个系统是通过SELECT * FROM accounts WHERE username=admin and password = password这种显式的SQL来进行登陆校验,也就是执行这个SQL语句,如果数据库中存在用户名为admin, password为password的用户,就登陆成功,否则就登陆失败。2. 系统没有对用户输入进行全面原创 2009-06-15 13:54:00 · 26975 阅读 · 2 评论 -
这么注释管用么?
看到CSDN为了屏蔽javascript,对博客中的Javascript进行了注释我输入了alert("Hello CSDN");经过CSDN的处理,变成了如下:alert("Hello CSDN");// --> 页面照旧弹出alert 改成/*alert("Hello CSDN");*/就好了原创 2009-03-21 06:43:00 · 1052 阅读 · 1 评论 -
看看CSDN放了什么信息到Cookie里面
你的Cookie信息: 看看CSDN放了什么信息到Cookie里面,什么时候看不到了就是CSDN发现这个漏洞了<!-- document.getElementById("cookieValue").innerHTML = document.cookie;// -->原创 2009-03-21 05:51:00 · 1046 阅读 · 7 评论 -
继Twitter以后 Baidu也被伊朗网军黑掉了 所用技术“DNS cache poisoning”学习
就在Twitter被黑后的几个星期,Baidu也步其后尘,被名为 ““Iranian Cyber Army” 的伊朗黑组织给攻破了,相关的新闻可以查看如下链接: http://thenextweb.com/asia/2010/01/12/breaking-baidu-hacked-iranian/http://news.cnet.com/8301-1023_3-10418140-9原创 2010-01-12 10:18:00 · 5289 阅读 · 17 评论