一個新型攻擊，網上尋找的文章不多，主要以http://www.tuicool.com/articles/eIf6Vje為主 這個攻擊依賴於瀏覽器和網絡服務器的反應，利用服務器的Web緩存技術和配置差異。 其中某一期的pwnhub就是考察此知識點。 上面的文章已經講的很詳細，借用最近ctf的一道 ...

RPO攻擊 最近見到幾個題，了解到一種攻擊方式，就是有RPO攻擊 0x00概述 瀏覽器解析頁面路徑有誤而導致css文件加載路徑錯誤，從而引發的任意解析。 引子： 1.在php有些框架中會有些pathinfo模式的url，就像http://localhost/index.php/home ...

轉自：http://www.frostsky.com/2011/10/xss-hack/ 對於的用戶輸入中出現XSS漏洞的問題，主要是由於開發人員對XSS了解不足，安全的意識不夠造成的。現在讓我們來普及一下XSS的一些常識，以后在開發的時候，每當有用戶輸入的內容時，都要加倍小心。請記住兩條原則 ...

轉自互聯網 0x00 緩沖區溢出概念 緩沖區溢出是指當計算機向緩沖區內填充數據位數時超過了緩沖區本身的容量溢出的數據覆蓋在合法數據上， 理想的情況是程序檢查數據長度並不允許輸入超過 ...

　　今天訪問網站一篇文章，彈出一個alert()，我就意識到網站被人拿來測試XSS攻擊了。 一、XSS攻擊原理 　　XSS到底是如何攻擊、我們又應該如何防范的呢？ 　　XSS攻擊主要是針對表單的input文本框發起的，比如有一個文本框輸入： 　　這樣一段JS代碼，如果前端 ...

數據庫注入攻擊 一、什么是數據庫注入攻擊。 　　服務端在接收來自客戶端的查詢參數后，未對查詢參數進行嚴格的過濾。導致惡意用戶可在查詢參數中插入惡意的sql語句來查詢數據庫中的敏感信息，最終造成數據庫信息泄露。 二、注入攻擊的分類。 　　按查詢數據的提交方式分為GET型注入 ...

漏洞產生的原因主要有系統機制和編碼規范兩方面，由於網絡協議的開放性，目前以 Web 漏洞居多 關於系統機制漏洞的典型有JavaScript/CSS history hack，而編碼規范方面的漏洞典型有心血漏洞（Heart Bleed）。 在對漏洞概念有一定了解后，將搭建一個測試網站，對CSS ...