• 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

标签:网站安全攻防

网络安全与防范

由于WP Mobile Detector插件漏洞导致10,000+ WordPress 网站被黑

Sucuri的安全专家报道,由于WP移动探测器的一个应用广泛的插件中存在的漏洞导致越来越多的WordPress设备已经被黑客利用。 令人担忧的消息是在野外被威胁者利用的漏洞仍然没有修复补丁进行修复。 Sucuri的专家称,黑客主要利用在WP移动探测器插件中的这个漏洞进行安装和色情有关的垃圾邮件脚本。 自从该漏洞被披露之后,这个插件已经从官方的WordPr……继续阅读 »

Time_泽 ~少 2年前 (2016-06-10) 1934浏览 0评论 0个赞

网站安全/应用漏洞

CRLF注入攻击

CRLF注入攻击并没有像其它类型的攻击那样著名。但是,当对有安全漏洞的应用程序实施CRLF注入攻击时,这种攻击对于攻击者同样有效,并且对用户造成极大的破坏。让我们看看这些应用程序攻击是如何实施的和你能够采取什么措施保护你的机构。 CRLF的含义是ca 攻击者在搜索安全漏洞的时候没有忽略很少使用的CRLF。攻击者可以通过在一段数据中加入CRLF命令来改变……继续阅读 »

Time_泽 ~少 2年前 (2016-01-27) 1911浏览 0评论 2个赞

网站安全/应用漏洞

XML注入攻击

Xml注入是通过改写xml的数据内容来实现。XML通常用于存储数据,如果用户提供的数据是以XML的方式进行存储,那么对攻击者来说,注入额外的、攻击者可能不能正常控制的XML是有可能的。 攻击原理: 考虑下述XML,在这个XML中,攻击者仅仅能够控制Attacker Text文本: <?xml version=”1.0″ e……继续阅读 »

Time_泽 ~少 2年前 (2016-01-27) 2537浏览 0评论 3个赞

网站安全/应用漏洞

简述平行权限和垂直权限

访问控制实际上是建立 用户与权限之间的对应关系,现在应用广泛的一种方法,就是“基于角色的访问控制(Role-Based Access Control)”,简称 RBAC。 用户 > 角色 > 权限 RBAC 事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一个权限的集合。而系统的所有用户都会被分配到不……继续阅读 »

Time_泽 ~少 2年前 (2016-01-27) 9390浏览 0评论 1个赞

网站安全/应用漏洞

拖拽劫持

2010年,ClickJacking技术有了新的发展。一位名叫Paul Stone的安全研究者在BlackHat 2010大会上发表了题为”Next Generation Clickjacking”的演讲。在该演讲中,提出了”浏览器拖拽事件”导致的一些安全问题。 目前很多浏览器都开始支持Drag &……继续阅读 »

Time_泽 ~少 2年前 (2016-01-27) 3347浏览 0评论 1个赞

网站安全/应用漏洞

web应用之点击劫持

点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属……继续阅读 »

Time_泽 ~少 2年前 (2016-01-27) 2424浏览 0评论 1个赞

网站安全/应用漏洞

Apache解析漏洞

我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞 我们来做下实验,我在本地搭建好了一个apache+php的测……继续阅读 »

Time_泽 ~少 2年前 (2016-01-10) 7556浏览 0评论 1个赞

网站安全/应用漏洞

Java反序列化漏洞技术分析

1 Java反序列化漏洞背景介绍 简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。 1.1 JAVA序列化 1. Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列……继续阅读 »

Time_泽 ~少 3年前 (2015-12-29) 3643浏览 0评论 1个赞

网站安全/应用漏洞

IIS PUT攻击与防御

写权限漏洞主要跟IIS的webdav服务扩展还有网站的一些权限设置有关系。下面我们先看下webdav的一些官方介绍 允许客户发布、锁定和管理 Web 上的资源,它允许客户端执行以下操作: 处理资源,处理服务器上 WebDAV 发布目录中的资源。例如,具有正确权限的用户可以在 WebDAV 目录中复制和移动文件。 修改属性,修改与某些资源相关联的属性。……继续阅读 »

Time_泽 ~少 3年前 (2015-12-29) 2401浏览 0评论 1个赞

网站安全/应用漏洞

Xpath注入攻击及其防御技术研究

摘 要 XML技术被广泛使用,XML数据的安全性越来越重要。本文简要介绍了XPath注入攻击XML数据的原理。在前人提出的防御通用方法的基础上,提出一个XPath 注入攻击通用检验模型,模型具有普遍意义。     关键词 XPath注入攻击; 防御技术; 模型 1 Xpath注入攻击概述 1.1 Xpath定义     近年来在现代化电子商务,商场现代……继续阅读 »

Time_泽 ~少 3年前 (2015-12-29) 20915浏览 0评论 1个赞

网站安全/应用漏洞

PHPSESSID session fixation漏洞

漏洞概述: 通过注入一个客户的PHPSESSID就可能修改PHP session cookie. 通常攻击者会操作cookie值去通过网站的认证。 一般的web认证方式都是通过cookie或者session来进行的。众所周知,cookie是存在本地的,客户端可以随意修改;而session是以文本文件形式存储在服务器端的,所以客户端无法修改 Sessio……继续阅读 »

Time_泽 ~少 3年前 (2015-12-18) 6414浏览 0评论 1个赞