2008年9月5日
摘要: 以前也做过类似于新闻小偷之类的东西,就是利用WebRequest从请求的URL获取信息后进行分析,然后显示。记得当时老板让做一个搜索时抓取程序,想把这边几个BBS的信息都能纳入搜索范围。因为有些BBS的搜索功能必须登录后才能使用,所以当时我想破了脑子也没办法,最后认为这个任务根本没法做,就没往下思考。今天在CSDN上看到一个帖子,才知道原来这并非不可实现的,其实早己有人这样做过。要做到这些,其要点... 阅读全文
posted @ 2008-09-05 15:36 jannock 阅读(2749) 评论(3) 推荐(1) 编辑
  2008年8月22日
摘要: FireFox: div 设置 margin-left, margin-right 为 auto 时已经居中, IE 不行 FireFox: body 设置 text-align 时, div 需要设置 margin: auto(主要是 margin-left,margin-right) 方可居中 FireFox: 设置 padding 后, div 会增加 height 和 width, 但... 阅读全文
posted @ 2008-08-22 15:41 jannock 阅读(1852) 评论(0) 推荐(1) 编辑
  2008年8月20日
摘要: 动易安全开发手册 目录 一、 输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式 5 二、 输出编码 8 1. 输出的种类 8 2. 输出编码的必要性 8 3. 输出编码 8 4. ... 阅读全文
posted @ 2008-08-20 16:10 jannock 阅读(33213) 评论(20) 推荐(1) 编辑
摘要: 定义: DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。 现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bi... 阅读全文
posted @ 2008-08-20 08:35 jannock 阅读(1540) 评论(1) 推荐(0) 编辑
  2008年8月19日
摘要: 今年年初至今,多款著名软件相继爆出安全漏洞,这些安全漏洞都和ActiveX技术有紧密的关系。那么到底是ActiveX技术本身存在问题,还是这些应用软件自身在编写时就先天不足呢? 今年年初至今,多款著名软件相继爆出安全漏洞,这些安全漏洞都和ActiveX技术有紧密的关系。那么到底是ActiveX技术本身存在问题,还是这些应用软件自身在编写时就先天不足呢?下文将给你详尽的解答。 西汉的萧何是汉... 阅读全文
posted @ 2008-08-19 09:55 jannock 阅读(472) 评论(2) 推荐(0) 编辑
  2008年8月15日
摘要: 普林斯顿大学在今年2月份的时候发布了一项研究成果,指出DRAM中的数据在计算机关机之后的数秒钟内处于一个“逐渐”消失的过程,如果环境温度较低的话,这个时间更会持续数分钟,这就意味着在这段时间内计算机系统中的例如密码之类的某些数据并未消失。 别用有心的人完全可以通过特殊的手段获取并破解这些敏感数据(相关报道看这里)。昨天该研究小组在H.O.P.E 2008黑客大会上公开了这组用于破解的工具,并在... 阅读全文
posted @ 2008-08-15 11:40 jannock 阅读(508) 评论(0) 推荐(0) 编辑
  2008年8月14日
摘要: 漏洞说明:DedeCms由2004年到现在,已经经历了五个版本,从 DedeCms V2 开始,DedeCms开发了自己的模板引擎,使用XML名字空间风格的模板,对美工制作的直观性提供了极大的便利,从V2.1开始,DedeCms人气急却上升,成为国内最流行的CMS软件,在DedeCms V3版本中,开始引入了模型的概念,从而摆脱里传统网站内容管理对模块太分散,管理不集中的缺点,但随着时间的发展,发... 阅读全文
posted @ 2008-08-14 08:59 jannock 阅读(340) 评论(0) 推荐(0) 编辑
摘要: 作者:余弦 来源:0x37 Security AJAX可以让数据在后台无声无息地进行,假如有办法让你的JS脚本与这个AJAX模块在同域内的话,那可以使用这个XSS来完成二次攻击,并且可以通过XHR对象的status属性来判断返回结果的正确与否。GET型的AJAX,直接构造URL里的参数值;POST型的AJAX,则构造好XHR对象的send方法里的参数值。 一般借用AJAX来完成的攻击,很难被用户... 阅读全文
posted @ 2008-08-14 08:58 jannock 阅读(1142) 评论(1) 推荐(0) 编辑
摘要: 作者:余弦 来源:0x37 Security 有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。译言http://www.yeeyan.com/是一个“发现、翻译、阅读中文之外的互联网精华”的web2.0网站,过滤系统真BT,不过其搜索引擎存在跨站,它的搜索引擎也真够BT,转义单引号、双引号,并且当搜索值含英文冒号:时就不返回搜索结果。于是我只能... 阅读全文
posted @ 2008-08-14 08:57 jannock 阅读(287) 评论(0) 推荐(0) 编辑
  2008年8月6日
摘要: from : http://www.siteweavercms.cn/Item/166.aspx 转载请注明:from http://www.siteweavercms.cn 出于对CMS的研究,发现Joekoe CMS 4.x出现上传漏洞,而且大多数情况下能直接拿数据库地址或数据库数密码。 为什么上传漏洞不是直接拿SHELL而是那这些呢?哈哈。。。 别急,下面一步步讲解,... 阅读全文
posted @ 2008-08-06 18:28 jannock 阅读(572) 评论(0) 推荐(0) 编辑