项目与思路

admin 4年前 (2014-11-13) 831浏览 0评论

当前，许多应用都支持第三方登录。从用户的角度来说，他们可以不必填写他们以前多次填写过的信息；从应用的角度来说，它可能可以立即获取用户的好友列表。不过，第三方登录在拥有诸多好处的同时也有诸多弊端。近日，私人团体分享平台Cluster合伙创始人Taylo...

admin 5年前 (2014-11-07) 1546浏览 0评论

XSScrapy是一个快速、直接的XSS漏洞检测爬虫，你只需要一个URL，它便可以帮助你发现XSS跨站脚本漏洞。 XSScrapy的XSS漏洞攻击测试向量将会覆盖 Http头中的Referer字段 User-Agent字段 Cookie 表单（...

admin 5年前 (2014-11-06) 924浏览 0评论

随着公众对Web安全的聚焦，越来越多的行业领域如运营商、政府电子政务互动平台、企事业门户网站及教育医疗机构等都已经 开始频繁使用扫描器去评估其风险性，以便提前发现潜在的安全隐患，及时安全加固以保障网站业务的正常持续运转。反观扫描器使用群体的变化，已...

admin 5年前 (2014-11-06) 1533浏览 0评论

有道云笔记收藏功能的本质就是在浏览器上执行一段js脚本，用js脚本来实现收藏功能，这和sec-wiki的快速分享到wiki功能类似。通过执行js这种方法而不是采用插件方式的好处是不用考虑浏览器的兼容性，具有通用性（虽然具体每个浏览器的js代码不一样，...

admin 5年前 (2014-10-24) 808浏览 0评论

前言 上一篇文章 讲解了如何借助前端技术，打造一个比 SSLStrip 更高大上的工具。 今天我们再次使用这套战术，通过前后端的里应外合，实现一个杀手锏级的攻击方案 —— Cookie 数据大喷发。 传统嗅探 在过去，Cookie 的窃取大多通过嗅...

admin 5年前 (2014-10-20) 1009浏览 0评论

这次我（知道创宇余弦）在 QCon 上海做了《程序员与黑客》的演讲，得到很多认可，这点很欣慰。不过演讲超时20分钟，这点不应该。很多同学意犹未尽，我也是。 这篇文章我说说，我为什么要讲这个议题。 我 2008年毕业就进入网络安全公司知道创宇，跟随几...

admin 5年前 (2014-10-14) 1346浏览 0评论

前言 在之前介绍的流量劫持文章里，曾提到一种『HTTPS 向下降级』的方案 —— 将页面中的 HTTPS 超链接全都替换成 HTTP 版本，让用户始终以明文的形式进行通信。 看到这，也许大家都会想到一个经典的中间人攻击工具 —— SSLStrip，...

admin 5年前 (2014-10-09) 935浏览 0评论

前言 我目前正在从事HTTPS方面的性能优化工作。在HTTPS项目的开展过程中明显感 觉到目前国内互联网对HTTPS并不是很重视，其实也就是对用户隐私和网络安全不重视。本文从保护用户隐私的角度出发，简单描述现在存在的用户隐私泄露和 流量劫持现象，然...

admin 5年前 (2014-10-09) 860浏览 0评论

随 着网站业务所承载内容的日益增多且重要性日益增强，网站本身的价值也越来越大，随之由网站漏洞带来的安全性问题也愈发严峻。新开通网站、新增专栏的准入质 量评估，网站系统日常运行状况的检查预防和风险掌控，这些已成为各行业每年安全大检查中的关键要素。作为具...

admin 5年前 (2014-10-04) 18774浏览 2评论

pytesser是谷歌OCR开源项目的一个模块，在python中导入这个模块即可将图片中的文字转换成文本。 链接：https://code.google.com/p/pytesser/ pytesser 调用了 tesseract。在python中调...

admin 5年前 (2014-10-02) 954浏览 0评论

前言 一个成熟的大型网站（如淘宝、京东等）的系统架构并不是开始设计就具备完整的高性能、高可用、安全等特性，它总是随着用户量的增加，业务功能的扩展 逐渐演变完善的，在这个过程中，开发模式、技术架构、设计思想也发生了很大的变化，就连技术人员也从几个人发...

admin 5年前 (2014-09-29) 994浏览 0评论

Google Authenticator是谷歌推出的一款动态口令工具，旨在解决大家Google账户遭到恶意攻击的问题，在手机端生成动态口令后，在Google相关的服务登陆中除了用正常用户名和密码外，需要输入一次动态口令才能验证成功，此举是为了保护用...

admin 5年前 (2014-09-29) 898浏览 0评论

2014中国互联网安全大会第一天结束，安全牛君在会场整整转了一天，晚上回到家不敢偷懒赶紧写稿与大家分享，让种种原因未能参会的圈内人士有个概览。（先做个广告：您的转发就是对本文的支持，thanks!） 原定九点整开始的大会，晚开始了十几分钟，会场已是人...

admin 5年前 (2014-09-29) 981浏览 0评论

转自：http://www.aqniu.com/neotech/4515.html 前言 2014年9月12日，国内最大的漏洞报告平台wooyun.org在北京中关村皇冠假日酒店召开首届乌云峰会。安全牛作为峰会的合作媒体，全程参 与峰会，并采(dā...

admin 5年前 (2014-09-24) 1451浏览 0评论

 最近一直忙于团建的工作，能够完全静下心来的时间也比较短，但团队的分享约定不能忘，同时也为了欢迎即将入队的一位新成员，在这里跟大家分享下Web2.0爬虫的一些技术点，希望对大家有些帮助，大家可以结合【这篇文章】一起来看，收获应该会更大，对其实Web2...

admin 5年前 (2014-09-22) 1094浏览 0评论

背景：2010年12月，Security Research Labs实验室的KarstenNohl和OsmocomBB项目程序员SylvainMunaut在Chaos Communication Congress黑客大会上展示了通过普通手机作为网络“...

admin 5年前 (2014-09-19) 1274浏览 0评论

小编语 想必大家对于“移动互联网时代，平台决定未来”这类的词儿听多了。听多了很多人就想：我要不要做移动开发呢？做的话拜Android还是iOS呢？话说也 没有绝对的答案，目前看来两个平台各自欣欣向荣，自己喜欢哪个就做哪个吧！关键是要尽快开始学并且搞明...

admin 5年前 (2014-09-18) 909浏览 0评论

作者： 阮一峰 你可能知道，Javascript语言的执行环境是”单线程”（single thread）。 所谓”单线程”，就是指一次只能完成一件任务。如果有多个任务，就必须排队，前面一个任务完成，...

admin 5年前 (2014-09-18) 1591浏览 0评论

转自：http://t.qq.com/p/t/330573116082464 当黑客入侵服务器后留下后门，若能及时发现后门可减少不必要的损失。这里以经典的Apache模块后门 mod_rootme 为例，分享下如何从进程行为来检测Linux后门的一些...

admin 5年前 (2014-09-17) 1004浏览 0评论

什么是网站安全扫描器?我相信玩安全的朋友基本都用过，要是没用过的话那你可以直接忽略本文了。抛开技术细节不说，我认为扫描器其实就是网络爬虫和漏洞识别(俗称:漏洞审计)的一个结合体，网络爬虫的目的就是获取网站中所有的可视和不可视的目录和链接，它是漏漏洞识...