鬼仔's Blog

以前一直不想把图片放在自己Blog的空间里，觉得这样的话可以保证Blog的大小，转移的时候方便，所以就一直选择使用网络相册来保存Blog里用到的图片，然后再链接过来。

在使用Yupoo之前，用的是Flickr，但是后来因为GFW的问题，不得不放弃Flickr。

我在Yupoo上传第一张图片是2006年1月5日，从2006年7月开始将blog上的图片放到Yupoo上，到现在也有2000多张了。一直用Yupoo用的好好的，但是最近Yupoo推出了防盗链功能之后，也没办法继续使用了，只有把图片都转到了本地。
阅读全文 »

Author: jianxin [80sec]
EMail: jianxin#80sec.com
Site: http://www.80sec.com
Date: 2008-12-24
From: http://www.80sec.com/release/session-hijacking.txt

[ 目录 ]

0×00 应用程序认证设计背景
0×01 常规攻击思路及缺陷
0×02 利用应用程序设计缺陷进行Session劫持的攻击原理
0×03 Session劫持的大致思路及意义
0×04 如何防御这种攻击
阅读全文 »

一共四关——通关后请联系管理员QQ。
关卡入口：www.hack-game.cn
阅读全文 »

Author: rayh4c [80sec]
EMail: rayh4c#80sec.com
Site: http://www.80sec.com
Date: 2008-12-22
From: http://www.80sec.com/release/Phishing.txt

[ 目录 ]

0×00 网络钓鱼形势分析
0×01 网络钓鱼原理分析
0×02 URL编码结合钓鱼技术
0×03 Web漏洞结合钓鱼技术
0×04 伪造Email地址结合钓鱼技术
0×05 浏览器漏洞结合钓鱼技术
0×06 如何防范网络钓鱼攻击
0×07 内容关键字匹配URL检测钓鱼攻击
0×08 后记
0×09 参考
阅读全文 »

作者：刺

因为我认识的朋友里面国内各大网站都有，前两天发了校内网的bug，可是现在多了个校内网的朋友，不太好意思发那些例子。正好不认识网易的人，那就发网易的漏洞做典型吧，也许还能让我们的whitehat社区趁机扩大下。

先说跨域实现的笔记，再讲漏洞。

今天本来不是研究这个跨域实现问题，不过顺道看到了这个，做下笔记，暂时还没想到有什么安全隐患，哪位有创意的朋友可以仔细思考下里面是否存在问题，我也会找时间好好想想。
阅读全文 »

作者：CG

In some of the past posts I covered finding a user default user account or account with an easy to guess username/password for Oracle and taking that user to DBA via SQL Injection in Oracle packages.

I’ve been neglecting the blog a bit porting some of the public SQLI for Oracle into metasploit auxiliary modules. Not sure when its going to be put into the trunk but it will be at some point, I think MC is working on the mixin to reduce the dependence on the Oracle instantclient.
阅读全文 »

来源：網路攻防戰

台北場：

阅读全文 »

From http://xeye.us/blog/2008/12/web-attack-map/