869天 南柯一梦

忠于理想 面对现实

XSS劫持(XSSJacking)是由Dylan Ayrey所提出的一种新型XSS攻击,可窃取受害者的敏感信息。XSS劫持需要其他三种技术配合使用,分别是点击劫持,粘贴劫持以及Self-XSS,甚至还需要一些社会工程学的帮助,因此这种攻击只能在那些同时有存储型XSS漏洞或是CSRF漏洞漏洞的网站上执行。 XSS劫持攻击的必要条件 要构成一个XSS劫持攻击有以下几...

在早几年的入侵测试中,大多数黑客的目标都是放在寻找主机和应用的漏洞上,而近几年方向有些转变,企业数据大规模泄漏,大量员工又主动将服务器私钥、密码等等大量内部敏感信息直接存放到外部云笔记和网盘等等,利用泄露的密码去入侵个人账户是件非常容易的事情,另外企业邮箱这些内部系统弱密码又一大堆,人的维度安全形势非常严峻。本期,【开源访谈】邀请到了 Sobug 技术合伙人尹毅(法师),和大家分享黑客成长过...

事件起因:今天看潇飞的微安全Team审核题目中,出现一个站点:http://tjxy.hbpu.edu.cn/问这个站的数据库名称。 我就好奇的打开看了下, 情况如下:ASP IIS7.5 存在注入漏洞。 经过:用Sqlmap跑了一圈,发现这是Access的数据库。阔是,我上哪里去找MDB所在的目录啊。于是乎手贱的跑到了后台信息。 ...

 本文介绍了 ARP攻击的原理以及由此引发的网络安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。     您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常?您的网速是否时快时慢,极其不稳定,但...

事件起因:无聊瞎鸡巴逛博客,看到土豆傻逼的博客的时候,看到了筱俊的博客,点进去看了下 经过:明月浩空2.6的模版,天哪,果断联系人搜索一波看到个人资料有一个网址:dhsec.red就顺手进去看了看 这不是解析到了主机屋的空间吗 哈哈,这就有趣了,果断上主机屋的空间绑定这个域名 并且丢了个黑页 ...

OWASP Mantra 是由 Mantra 团队开发,面向渗透测试人员、Web 开发人员和安全专业人员的安全工具套件 (基于浏览器, 目前是 Chromium 和 Firefox ),包括扩展程序和脚本集合。 一、简单介绍 ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具。 ZAP即可以用于安全专家、开发人...