上一页 1 ··· 48 49 50 51 52 53 54 55 56 ··· 82 下一页
  2014年5月15日
Bypass Preventing CSRF
摘要: CSRF在过去的n年(n>2)一直都火,在bh/defcon/owasp等会议上多次探讨CSRF的攻防[具体你可以看看以往的那些pp].前 段时间PLAYHACK.net上发表了一个总结性的pp:Preventing CSRF,然而CSRF是很难彻底防止的,这个也是我说CSRF卑鄙无耻的一个原因,下... 阅读全文
posted @ 2014-05-15 11:06 milantgh 阅读(286) 评论(0) 推荐(0) 编辑
CSRF手工测试方法
摘要: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞,也是一大刷分利器。有关CSRF的具体利用,CEO早在 08年就... 阅读全文
posted @ 2014-05-15 10:30 milantgh 阅读(9843) 评论(0) 推荐(0) 编辑
  2014年5月14日
OpenSSL重大漏洞-Heartbleed之漏洞利用脚本POC讲解
摘要: OpenSSL Security Advisory [07 Apr 2014]========================================TLS heartbeat read overrun (CVE-2014-0160)=============================... 阅读全文
posted @ 2014-05-14 17:39 milantgh 阅读(5397) 评论(0) 推荐(1) 编辑
网站指纹识别工具
摘要: WhatWeb是一款网站指纹识别工具,主要针对的问题是:“这个网站使用的什么技术?”WhatWeb可以告诉你网站搭建使用的程序,包括何种CMS系统、什么博客系统、Javascript库、web服务器、内嵌设备等。WhatWeb有超过900个插件,并且可以识别版本号、email地址、账号、web框架、... 阅读全文
posted @ 2014-05-14 16:47 milantgh 阅读(629) 评论(0) 推荐(0) 编辑
深入解析跨站请求伪造漏洞(实例讲解)
摘要: 本文的上篇中,我们着重介绍了跨站请求伪造的原理,并指出现有的安全模型并不能真正防御这种攻击。在下篇中,我们将向读者介绍在一些大型站点上发现 的几个严重的CSRF漏洞,攻击者利用这些漏洞不仅能够采集用户的电子邮件地址,侵犯用户隐私并操控用户帐户。如果金融站点出现了跨站请求伪造漏洞的话, 这些漏洞甚至允... 阅读全文
posted @ 2014-05-14 14:46 milantgh 阅读(1125) 评论(0) 推荐(0) 编辑
深入解析跨站请求伪造漏洞
摘要: 一、概述当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击。跨站请求伪造攻击亦称跨 站引用伪造(XSRF),会话叠置和混淆代理人攻击。我们之所以使用术语CSRF,是因为它是描述这类攻击时最常用的术语。这些攻击被誉为基于Web的漏 洞中的... 阅读全文
posted @ 2014-05-14 14:19 milantgh 阅读(636) 评论(0) 推荐(0) 编辑
浅谈CSRF攻击方式
摘要: 一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你... 阅读全文
posted @ 2014-05-14 13:30 milantgh 阅读(355) 评论(0) 推荐(0) 编辑
XSS与CSRF两种跨站攻击比较
摘要: XSS:跨站脚本(Cross-site scripting)CSRF:跨站请求伪造(Cross-site request forgery)在那个年代,大家一般用拼接字符串的方式来构造动态SQL 语句创建应用,于是SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离SQ... 阅读全文
posted @ 2014-05-14 12:39 milantgh 阅读(731) 评论(0) 推荐(0) 编辑
CSRF攻击原理解析与对策研究
摘要: 1、引言 跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MIT... 阅读全文
posted @ 2014-05-14 11:19 milantgh 阅读(490) 评论(0) 推荐(0) 编辑
CSRF注入式攻击防御讲解
摘要: 0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。 网站是通过cookie... 阅读全文
posted @ 2014-05-14 11:01 milantgh 阅读(776) 评论(0) 推荐(0) 编辑
上一页 1 ··· 48 49 50 51 52 53 54 55 56 ··· 82 下一页
Copyright © 2024 milantgh
Powered by .NET 9.0 on Kubernetes Powered By: 博客园