2008年09月的文章

PHP in the Register Globals

by amxku
2008-09-28
http://www.wolfexp.net

php中用户的输入数据为 GET、POST 和 COOKIE 三种,一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off,但现在还是有部分在php.ini中将register_globals 的设为on,所以这里就存在了一些隐藏的风险。

register_globals 本身并没有安全风险。但如果将register_globals设为on,在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中,将创建 GET、POST 和 COOKIE 传递到 PHP 脚本的所有变量。各种变量都被注入代码。再加上 PHP 在使用变量之前是无需进行初始化的,如果开发人员没有好的编程习惯,这就使得更容易产生一些安全风险。

» 阅读全文

关键词: 脚本 , 原创 , 安全 , php

猥琐的notclickjacking

很猥琐的submitjacking,在群里看到的。应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking

XML/HTML代码
  1. <form name="my_form_tres" action=""  
  2. onSubmit=window.open("http://www.example.com")>  
  3. <input type="submit" id="my_submit_button_tres"  
  4. style="position:absolute;left:0px;visibility:hidden;"/>  
  5. <a href="http://www.breakingpointsystems.com"  
  6. onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake   
  7. link (onmouseup and click)</a>    
  8. </form>  

可参见http://www.planb-security.net/notclickjacking/

关键词: submitjacking , 脚本 , 技术

搬家

上海呆了快两年了。终于是搬了一次家。

住的地方还不错。交通还算是比较方便吧。小区里也很安静。

搬家还真是个累啊,虽然没几步路,还是累的不行。到现在全身还是酸酸的。记录之。。。

早点睡觉吧。。。

关键词: 搬家 , 上海 , 生活

我的Wireless装备

这几天没什么事情,在捣鼓无线。买了个wifly-city,还有天线什么的。秀一下一角

» 阅读全文

关键词: 卡王 , wireless , 装备

ali也挂了,唉

唉,上图!全自动的就是牛啊。

aliued.jpg(缩略图)

aliued.jpg

大小: 107.29 KB
尺寸: 500 x 316
浏览: 1339 次
点击打开新窗口浏览全图

关键词: 阿里巴巴 , 挂马 , 被黑站点 , 安全

Ajax安全剖析专题

Ajax是Asynchronous JavaScript and XML的缩写。AJAX(Asynchronous JavaScript + XML)是web浏览器技术的集合体,它允许web页面内容飞速地更新而无需刷新页面。在使用AJAX的web页面背后,数据(通常格式化为XML,但也可以是HTML、JavaScript等格式)在web服务器与客户端浏览器之间来回传输。比如在Gmail应用场景中,新的邮件信息被自动接收和显示。在Google Maps应用场景中,用户可以通过鼠标拖拽的方式在地图中的街区之间穿梭漫游。这种执行异步数据传输的机制是一个嵌入在所有现代web浏览器内部的、被称为XMLHTTPRequest(XHR)的软件库。XHR是web站点获得“AJAX”商标的关键。另一方面,它也是一些实现了“奇思妙想”的JavaScript。

http://www4.it168.com/jtzt/shenlan/safe/ajax/

关键词: ajax , 学习 , 安全

这也能叫安全

虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软件更是对变形webshell显得无力,SQL 注入稍微变形就可绕过传统IDS,由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少,而像中国中央政府门户网站所使用的 iGuard网页防篡改系统又贵的惊人,由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。

自己都被挂了,还网页防篡改或防挂马,唉

2008-09-16_225431.jpg

2008-09-16_225431.jpg

大小: 203.8 KB
尺寸: 500 x 307
浏览: 919 次
点击打开新窗口浏览全图

关键词: arp , 被黑站点 , 安全

autosuggestion tag for sablog

先看效果图

» 阅读全文

关键词: autosuggestion , 原创 , sablog , php

Total: 1012Next ›