06 2014 档案
VS2010皮肤控件介绍
摘要:在我们平时使用的各种工具中,如QQ,迅雷,以及各种空间等,都提供了一些换肤功能,可以让我们选择各种我们喜欢的界面。本文就对VS中常用的窗口程序做一个简单的换肤,利用一个dll文件来进行实现。首先我们要加载一个叫做IrisSkin2.dll的dll文件,通过“添加引用”,在应用里添加IrisSkin2...
阅读全文
破解之总结(一)
摘要:1、 汇编2、 脱壳1)5种常见的语言特征(也是判断是否到达OEP的一种方法)2)附加数据的处理3)自校验的处理 1) 如果是调用错误提示——F12堆栈调用法 2)如果是文件/数据损坏错误提示——2OD对比法(bp CreateFileA)4) BC++程序的手动查找IAT3、 破解1>一般破解目标...
阅读全文
破解之关键CALL与关键跳查找方法
摘要:找关键CALL和关键跳方法一:输入假码注册程序,记录下错误提示信息。OD载入程序-->右键-->查找-->所有参考文本字串-->(右键-->查找文本,注:不要区分大小写,选择整个范围)找到上面记录的错误提示文本或:右键-->超级字符串参考-->查找ASCII码/UNICODE->(右键-->查找文本...
阅读全文
SQL Server 2008 用户SA登录失败(错误18456)之图文解决方法
摘要:SQL2008无法连接到.\SQLEXPRESS,用户'sa'登录失败(错误18456)图文解决方法出现问题 :标题: 连接到服务器------------------------------无法连接到 .\SQLEXPRESS。------------------------------其他信息:...
阅读全文
C#中数据库连接的配置文件
摘要:在C#2010中,如何保存和访问数据库的连接字符串呢?在Winform下要新增App.config文件,在Asp.net下要新增web.config文件。1.打开配置文件添加相关代码后如下即可: 2.添加using System.Configuration;并在项目上右键“添加引用”-...
阅读全文
天草(初级+中级+高级)VIP和黑鹰VIP破解教程(全部iso下载地址)
摘要:以下就是我收集的教程地址,之前我收集到的都是一课一课下载的,虽然这样,我也下载完了天草的全部课程。这里分享的是在一起的iso文件,比起一课课下载爽多了。~~还有这些教程都是从零起点开始教的,不用担心学不会.~~个人建议先看脱壳~然后看破解的______________________________...
阅读全文
Penetration test
摘要:Contents1 History2 Standards and certification3 Tools3.1 Specialized OS distributions3.2 Software frameworks4 Automated testing tools5 See also6 Notes...
阅读全文
前端必读:浏览器内部工作原理
摘要:目录 一、介绍 二、渲染引擎 三、解析与DOM树构建 四、渲染树构建 五、布局 六、绘制 七、动态变化 八、渲染引擎的线程 九、CSS2可视模型 英文原文:How Browsers Work: Behind the Scenes of Modern Web Browsers ...
阅读全文
XSS测试用例与原理讲解
摘要:1、DIBRG2、 在IE下可以,在FF下不可以3、 IE,FF下均可4、 在IE下可以,在FF下不可以5、 XSS a="get"; b="URL("""; c="javascript:"; d="alert('XSS');"")"; eval(a+b+c...
阅读全文
防御XSS攻击的七条原则
摘要:本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为...
阅读全文
XSS解决方案系列之四:关于编码
摘要:本文准备说明以下几个问题:1. 关于重复编码的问题2. 关于编码的多种形式的问题3. 关于编码的几个常见问题【说明】本文所述编码是指encode,可以理解为转义,而不是编程序写代码。编码或者转义机制替我们解决两个问题:a. 避免保留字冲突问题,对于web应用来说,XSS问题也是其中一类b. 表达不可...
阅读全文
XSS与字符编码的那些事儿
摘要:目录0x00:基本介绍0x01:html实体编码0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理!0x03:javascript编码0x04:base64编码0x05:闲扯0x00基本介绍提起XSS 想到的就是插入字符字符编码与各种解析了!这也就是各种xss编码插件跟工具出世的原因!之...
阅读全文
十大渗透测试演练系统
摘要:DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。链接地址:http://www.dvwa.co.ukmutillidaemutil...
阅读全文
黑客是怎样绕过WAF之三重防护绕过讲解
摘要:什么是WAFWeb Application Firewall通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击。目前主要有单设备WAF与云WAFWAF的现状1.太多数WAF能够拦截较为普通的WEB攻击2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力3.基本所有的WAF都...
阅读全文
南方数据企业0day
摘要:漏洞影响版本 v10.0 v11.0关键字:inurl:”HomeMarket.asp”默认后台:/admin直接爆用户密码:http://www.xxx.com/NewsType.asp?SmallClass='%20union%20select%200,username%2BCHR(124)%2...
阅读全文
Fckeditor漏洞利用总结
摘要:查看编辑器版本FCKeditor/_whatsnew.html—————————————————————————————————————————————————————————————2. Version 2.2 版本Apache+linux 环境下在上传文件后面加个.突破!测试通过。———————...
阅读全文
11种绕过防注入系统的方法
摘要:1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如o...
阅读全文
被FBI点名的中国黑客-Lion
摘要:网名:Lion(狮子) 真实姓名:林勇 QQ:21509 简介:红客联盟创始人(该组织在2001年5月的黑客大战中一举成名,会员人数最多时达到6万,很有影响力),现在安氏因特网安全系统(中国)有限公司高级技术专员。特长:3年以上WindowsNT系统管理员经验,2年以上Unix系统管理员经验,对S...
阅读全文
forward && redirect 区别介绍
摘要:解释一 一句话,转发是服务器行为,重定向是客户端行为。为什么这样说呢,这就要看两个动作的工作流程: 转发过程:客户浏览器发送http请求----》web服务器接受此请求--》调用内部的一个方法在容器内部完成请求处理和转发动作----》将目标资源发送给客户;在这里,转发的路径必须是同一个web容器...
阅读全文
HTTP Keep-Alive详解
摘要:HTTP是一个请求响应模式的典型范例,即客户端向服务器发送一个请求信息,服务器来响应这个信息。在老的HTTP版本中,每个请求都将被创建一个新的客户端->服务器的连接,在这个连接上发送请求,然后接收请求。这样的模式有一个很大的优点就是,它很简单,很容易理解和编程实现;它也有一个很大的缺点就是,它效率很...
阅读全文
Burp Suite Walkthrough(英文版)
摘要:Burp Suite is one of the best tools available for web application testing. Its wide variety of features helps us perform various tasks, from intercept...
阅读全文
Burp Suite Walkthrough(中文版)
摘要:Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理--Burp Suite带有一个代理,通...
阅读全文
Burp Suite教程(英文版)
摘要:In this article, we are going to see another powerful framework that is used widely in pen-testing. Burp suite is an integration of various tools put ...
阅读全文
XSS之学习误区分析
摘要:有段时间没写东西了, 最近看到zone里出现了很多“XSS怎么绕过某某符号的帖子”,觉得很多新手在寻找XSS时走进了一些误区,比如:专门想着怎么去“绕过”。这里做个总结,希望对大家有所帮助。 1. 误区1: XSS,不是专门去“绕过”限制。 打个简单的比方,一个已经被层层把守的大门,面前荆棘无数...
阅读全文
工具猫魔盒介绍
摘要:对象方法: Net.post(url,data,callback,type,refer,async,headers,failfunc)具体介绍url : 请求地址 | 必选data : 发送数据 | 必选callback : 回调函数 | 必选type : 获取的数据类型 | 可选refer : 数...
阅读全文
XSS脚本攻击漫谈
摘要:XSS跨站脚本攻击一直都被认为是客户端 Web安全中最主流的攻击方式。因为 Web环境的复杂性以及 XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。跨站脚本攻击(Cross Site ...
阅读全文
WEB黑客工具箱之FireBug介绍
摘要:Firefox扩展Firebug是一个全功能的Web 应用程序调试器,可以协助Web黑客洞悉复杂的Web 应用程序的内部工作机制。它有两种版本:一种可以跨浏览器使用的组件Firebug Lite,另一种是专用于专用于火狐浏览器的扩展Firebug。本文将着重向读者介绍前者的用法。一、简介浏览器扩展F...
阅读全文
WEB黑客工具箱之LiveHttpHeaders介绍
摘要:一、LiveHttpHeaders之安装自行百度二、LiveHttpHeaders主窗口根据我们目的的不同,LiveHttpHeaders有两种启动方法:当我们只想监视通信量的时候,可以从浏览器的“查看”菜单中选择“侧栏”菜单项,最 后选择Live HTTP Headers菜单项;如果要使用该工具全...
阅读全文
Google考虑抛弃Cookies机制
摘要:根据华尔街日报的报道,Google 正在考虑抛弃古老的浏览器 cookies 来追踪用户信息的机制。作为替代,Google 将开发一种「个人匿名标识机制」。Google 早前已经计划在 IE 和 iPhone 中采用加密 cookies,让整个因特网大环境变得更加安全。一位 Google 的发言人告...
阅读全文
COOKIE漫谈
摘要:cookie概述在上一节,曾经利用一个不变的框架来存储购物栏数据,而商品显示页面是不断变化的,尽管这样能达到一个模拟全局变量的功能,但并不严谨。例如在导航框架页面内右击,单击快捷菜单中的【刷新】命令,则所有的JavaScript变量都会丢失。因此,要实现严格的跨页面全局变量,这种方式是不行的,Jav...
阅读全文
COOKIE之安全设置漫谈
摘要:一、标题:COOKIE之安全设置漫谈副标:httponly属性和secure属性解析二、引言经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下...2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读我的这篇文章:>三、Cooki...
阅读全文
PHP设置COOKIE的HttpOnly属性
摘要:httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就...
阅读全文
HttpOnly
摘要:Contents1 Overview1.1 Who developed HttpOnly? When?1.2 What is HttpOnly?1.3 Mitigating the Most Common XSS attack using HttpOnly1.3.1 Using Java to Se...
阅读全文
浏览器因cookie设置HttpOnly标志引起的安全问题
摘要:1、简介 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的 原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可 做...
阅读全文
XSS高级实战教程
摘要:1、【yueyan科普系列】XSS跨站脚本攻击--yueyan2、存储型XSS的成因及挖掘方法--pkav3、跨站脚本攻击实例解析--泉哥4、XSS高级实战教程--心伤的瘦子5、XSS利用与挖掘-更新版--GAINOVER6、XSS教学--gainoverXSS教学XSS实战教程PKAV培训网站:h...
阅读全文
开发安全的Web程序
摘要:目录0x1:什么是安全的Web应用程序0x2:过滤输入的数据0x3:转义输出的数据0x4:Register Globals0x5:magic_quotes_gpc0x6:错误信息的报告0x7:文件的安全0x8:Session的安全0x9:虚拟主机你所开发的Web应用程序,可能是用于以下用途:(1)用...
阅读全文
PHP ini_set() 函数
摘要:PHP ini_set用来设置php.ini的值,在函数执行的时候生效,对于虚拟空间来说,很方便,下面为大家介绍下此方法的使用PHP ini_set用来设置php.ini的值,在函数执行的时候生效,脚本结束后,设置失效。无需打开php.ini文件,就能修改配置,对于虚拟空间来说,很方便。 函数格式:...
阅读全文
PHP之序列化与反序列化讲解
摘要:serialize() 把变量和它们的值编码成文本形式unserialize() 恢复原先变量eg:$stooges = array('Moe','Larry','Curly');$new = serialize($stooges);print_r($new);echo "";print_r(uns...
阅读全文
PHP glob() 函数
摘要:定义和用法glob() 函数返回匹配指定模式的文件名或目录。该函数返回一个包含有匹配文件 / 目录的数组。如果出错返回 false。语法glob(pattern,flags)参数描述file必需。规定检索模式。size可选。规定特殊的设定。GLOB_MARK - 在每个返回的项目中加一个斜线GLOB...
阅读全文
PHP之关闭网页错误提示
摘要:关闭PHP错误脚本提示是程序上线了必须做的一件事情,就是不管程序怎么报错我们都不能让错误日志在服务器上给大家看到,下面我来总结两种关闭PHP错误脚本提示的具体方法最简单的办法就是直接在php程序代码中加入下面代码:代码如下:error_reporting(E_ALL^E_NOTICE^E_WARNI...
阅读全文
