http://blog.sina.com.cn/andon[订阅]
博文
|
标签:杂谈 |
【死亡节奏】网络技术小组(Death
Rhythm
Team)由一群爱好计算机网络技术的人组建,我们希望网络上云游的高手能够加入我们,大家一起讨论技术方面的问题,大家互相学习,互相帮助,共同撑起网络的一片天空!
审核要求:
至少具备以下条件中一种
程序设计方面:必需掌握C语言,汇编设计基础
其它要求为VC环境,VB环境,Dephi环境……之一
有原创文章和原创程序,范围为发表在相关权威安全组织或黑客杂志上的原创作品
网页设计方面:有较强的美术功底和出色的网页平面设计审美功力
熟练使用PHOTOSHOP、
审核要求:
至少具备以下条件中一种
程序设计方面:必需掌握C语言,汇编设计基础
其它要求为VC环境,VB环境,Dephi环境……之一
有原创文章和原创程序,范围为发表在相关权威安全组织或黑客杂志上的原创作品
网页设计方面:有较强的美术功底和出色的网页平面设计审美功力
熟练使用PHOTOSHOP、
李阳老师今天又来我们学校讲课了
去年刚来过
今年又来了
估计是又来骗我们的钱来了
他说要辅导每班的倒第10名
老子正好是倒第9
555555555
不知道是不是真的
虽然咱是差生
但也是希望能进步的
对了
他还是俺们学校的名誉校长哦
县政府给了学校1000万的拨款
可是学校外边还欠了3000万的债
吴校长看来要辛苦了....
|
标签:教育杂谈 |
Blog正常运行
玩了一段pjblog后发现还是新浪的这个比较习惯
baidu的也不错
但不怎么会搞模板
还是继续用sina吧
不怕别人报复
............
|
标签:文学/原创 |
脱壳的几种常见方法
-------------------------------------------------------------------------
ESP定律法:
ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)
2.在命令行下:dd XXXXXXXX(指在当前代码中
出自:
网络上曾经有过关于跨站脚本攻击与防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括现在的动网都存在着跨站脚本过滤不严的问题,希望本文能给写程序的与研究程序的带来一点思路。
还是首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制进入了数据库最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行HTml代码,数据流程如下:
恶意用户的Html输入————>web程序————>进入数据库————>web程序————>用户浏览器
这样我们就可以清楚的看到Html代码是如何进入受害者浏览器的了,我们也就可以根据这个流程来讨论跨站脚本的攻击与防御了!
1 什么是HTml输入?
这里给出一个HTml代
跨站脚本攻击攻防之我见
BY 剑心[B.C.T]
转载注明出处:http://www.loveshell.net
最近一阵给一些网络上的程序找了下漏洞,发现危害比较大的也就是Sql注入和跨站脚本漏洞,其中出现得比较多的也就是跨站脚本漏洞,包括现在网络上很多好的程序还是存在着过滤不严密等方面的问题,在一些小的程序中跨站脚本漏洞更是多如牛毛。尽管很多的程序员都意识到跨站脚本漏洞的危害并且想办法做过滤,但是感觉他们过滤的思路都不清晰导致过滤都不是很好,总有那么一点空子可以去钻。在BCT学习了很长的时间了,跟组织里的人如Linzi和李封初等也有过关于跨站脚本方面的讨论,也总算有一点自己的理解,今天就谈谈跨站脚本在写程序时该如何防御吧!
一 漏洞的成因
尽管是讲烂了的东西,但是我还是先来讲讲跨站脚本的原理吧!用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中,并且在一些地方又直接从数据库中取出来返回给来访问的用户,这就导致了跨站脚本漏洞的产生。因为一个恶意用户提交的Html代码最终被其他浏览该网站
BY 剑心[B.C.T]
转载注明出处:http://www.loveshell.net
最近一阵给一些网络上的程序找了下漏洞,发现危害比较大的也就是Sql注入和跨站脚本漏洞,其中出现得比较多的也就是跨站脚本漏洞,包括现在网络上很多好的程序还是存在着过滤不严密等方面的问题,在一些小的程序中跨站脚本漏洞更是多如牛毛。尽管很多的程序员都意识到跨站脚本漏洞的危害并且想办法做过滤,但是感觉他们过滤的思路都不清晰导致过滤都不是很好,总有那么一点空子可以去钻。在BCT学习了很长的时间了,跟组织里的人如Linzi和李封初等也有过关于跨站脚本方面的讨论,也总算有一点自己的理解,今天就谈谈跨站脚本在写程序时该如何防御吧!
一 漏洞的成因
尽管是讲烂了的东西,但是我还是先来讲讲跨站脚本的原理吧!用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中,并且在一些地方又直接从数据库中取出来返回给来访问的用户,这就导致了跨站脚本漏洞的产生。因为一个恶意用户提交的Html代码最终被其他浏览该网站
2) <div style='{ left:expression_r( alert('xss') ) }'>
3) <div style='{ left:exp/* */ression( alert('xss') ) }'>
4) <div style='{ left:\0065\0078pression( alert('xss') ) }'>
5) html实体 <div style='{ left:expression( alert('xss') ) }'>
6) 全角<div style='{ left:expression( alert('xss') ) }'>
7) unicode <div style='{ left:expRessioN( alert('xss') ) }'>
8)<script>document.body.bgColor='black';document.body.innerHTML='<center><font
color=green size=3>HackEd BY
江南剑书生</font>';</script>
