技术

交易类WAP站点在数据传输过程中的风险

现在中国移动提供的GPRS大致分为两类,一类是CMWAP,另一种是CMNET。

CMNET

CMNET拥有完全的Internet访问权,CMNET就像我们使用电脑连接互联网,CMNET其实就是移动的 Internet,分配的IP是公网的地址。采用的实现方式是“终端+服务器”的工作模式。

CMWAP

CMWAP接入方式只开放HTTP代理协议(80和8080端口)和WAP网关协议(9201端口),仅支持http和WAP协 议(数据通过WTLS传输)。采用的实现方式是“终端+WAP网关+WAP服务器”的模式。主要的目的是通过WAP网关完成 WAP-WEB的协议转换以达到节省网络流量和兼容现有WEB应用等目的(本文档仅针对WAP1.X)。

» 阅读全文

关键词: 安全 , 工作 , 技术

画了张抛砖引玉的图

最近在公司忙sdl的东西,想把WEB开发这一块的流程等东西都按照sdl的一些思想给规范起来。

说是比较容易,但是做起来就麻烦了。具体细节不说了。总之有点难度,还好我们公司的领导现在都还比较重视这一块,这就提供了很大的方便。@amxku

画了个图,共享下,没啥技术含量(根据公司的情况做了些删减),仅供参考,算是抛砖引玉吧。欢迎拍砖。

91cd11a66376dc387d0f6438af2b7020.png - 大小: 560.05 KB - 尺寸:  x  - 点击打开新窗口浏览全图

个人拙见,欢迎斧正,@amxkuluoq.net

关键词: sdl , 安全 , 工作 , 技术

猥琐的notclickjacking

很猥琐的submitjacking,在群里看到的。应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking

XML/HTML代码
  1. <form name="my_form_tres" action=""  
  2. onSubmit=window.open("http://www.example.com")>  
  3. <input type="submit" id="my_submit_button_tres"  
  4. style="position:absolute;left:0px;visibility:hidden;"/>  
  5. <a href="http://www.breakingpointsystems.com"  
  6. onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake   
  7. link (onmouseup and click)</a>    
  8. </form>  

可参见http://www.planb-security.net/notclickjacking/

关键词: submitjacking , 脚本 , 技术

渗透这点事

我不认为渗透是个技术活,就是体力活。他奶奶的。

现在国内大至也就是溢出,SQL注入,XSS攻击,远控,ARP,社工等等,不过也远远不只有这些。渗透也就是将这些玩艺儿巧妙的接合。怎么接合就是关键了。

渗透时要是多想想,对自己有点信心,离成功就不远了。

北京这鬼天气竟然下起雪来了,唉!!

发现自己现在技术停滞了。技术啊,还是要有交流才能得到进步啊!朋友们好像都在忙着赚钱了,呵呵,都忙。

以前转过BAOZ前辈的70,80"黑客",写得是很实在。但是任何事情都是双面性的,不能只从单一的方面去分析。就说为什么现在出来交流技术的人越来越少了呢?因为这些东东已经成为了这群人吃饭的家伙了。别人怎么可能把吃饭的家伙拿出来交流呢。这帮人绝大部分是做为无业游民在四处转悠,又没什么高的学历,可能他们除了会这点东东外,一无所有。

关键词: 渗透 , 技术

浅谈javascript函数劫持

by luoluo
luoluonet_at_yahoo.cn

javascript函数劫持,也就是老外提到的javascript hijacking技术

» 阅读全文

关键词: 代码收藏 , 技术

INF文件

inf不错的东东,可以过卡巴的主动,呵呵。

  1. @echo off  
  2. :: 通过inf来重启电脑  
  3. ::Author:luoq.net  
  4. cd/d "%temp%"  
  5. (echo [version]  
  6. echo signature=$chicago$  
  7. echo [defaultinstall])>reboot.inf  
  8. set inf=InstallHinfSection DefaultInstall  
  9. rundll32 setupapi,"%inf%" 1 "%temp%\reboot.inf"  
  10. del reboot.inf

关键词: 免杀 , inf , 技术

40位md5 散列

昨天见过一个数据库里是40位的加密散列,实际上还是md5加密,弄得我郁闷了半天。

以admin为例,admin的16位、32位散列:
7a57a5a743894a0e
21232f297a57a5a743894a0e4a801fc3
40位的是7a57a5a743894a0e4a801fc343894a0e4a801fc3,其实就是先用16位MD5加密admin,再在后面添上32位MD5散列的后8位,最后把后16位散列[43894a0e4a801fc3]重复一下,就得到了40位MD5加密散列了。

关键词: md5 , 免杀破解 , 技术

搞定了静态

弄了一晚上,终于把SEBUG完全转成了静态。

以后添加完成后就可以直接生成HTML了,不用再用伪静态了,呵呵。静态还是蛮好,就像轮回说的,就算数据库挂掉了,一样可以正常访问。

希望搜索引擎也会多多的光顾一些。也希望大家多多支持,谢谢CCTV,谢谢……

关键词: sebug , 技术 , php

Total: 3912345Next ›