分类 ‘技术文章’ 下的日志
利用App Engine架设自己的Proxy
来源:Q’s blog
这里只是说一下个人的架设经过。
首先说一下我用的是Vista。
下载并安装Python环境。(默认安装的)
http://python.org/download
我用的是 Python 2.5.2 Windows installer
下载并安装Google App Engine SDK。(默认安装的)
http://code.google.com/appengine/downloads.html
下载gappproxy。
http://code.google.com/p/gappproxy/
下载app.yaml.fragment,fetch.py,proxy.py三个文件。
阅读全文 »
学习WebZine [0x02]后乱谈
by Superhei
2008-06-25
http://www.ph4nt0m.org
这里学习了下自己看的明白的PP
[PSTZine 0x02][0x07][乱谈之XSS攻击检测]
这个文章里提到了几个有趣的漏洞:
1.phpinfo() 4096字节后的xss,这个漏洞要是不去分析php的源代码是没有办法发现的,很多人看应用程序的原代码只去分析溢出等问题,但是忽视了应用上的安全, 这个还是要看发现者的意识,SE大牛分析php代码就不放过应用上的安全。而且就web程序的漏洞现在主要是看细节,而发现这些细节最好的办法就是分析 php本身的代码
阅读全文 »
世界之窗等浏览器本地xss跨域漏洞POC
漏洞说明:http://www.80sec.com/360-sec-browser-localzone-xss.html
文档来源:http://www.80sec.com/release/The-world-browser-locale-zone-xss-POC.txt
漏洞分析:世界之窗浏览器在起始页面是以res://E:\PROGRA~1\THEWOR~1.0\languages\chs.dll /TWHOME.HTM的形式来处理的,而由于缺乏对res协议安全的必要控制,导致页面的权限很高,而该页面中存在的一个xss问题将导致本地跨域漏 洞,简单分析如下:
<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i ++ )
{
str_url = g_arr_argUrlOld[i];
str_name = g_arr_argNameOld[i];360安全浏览器本地xss跨域漏洞
来源:80sec
产品官方:360安全浏览器是全球首款采用“沙箱”技术的浏览器,能够彻底避免木马 病毒从网页上对你的计算机发起攻击。360安全浏览器完全突破了传统的以查杀、拦截为核心的安全思路,在计算机系统内部构造了一个独立的虚拟空间—— “360沙箱”,使所有网页程序都密闭在此空间内运行。因此,网页上任何木马、病毒、恶意程序的攻击都会被限制在“360沙箱”中,无法对真实的计算机系 统产生破坏,真正做到百毒不侵。
360安全浏览器只有1.6M,小巧轻快、功能丰富,适合快速安装。除独家采用的“沙箱”技术外,360安全浏览器还集成了恶意代码智能拦截、下载文件即时扫描、恶意网站自动报警,广告窗口智能过滤等强劲功能,是目前市面上最安全的浏览器。
阅读全文 »
第三方浏览器安全警告
来源:80sec
漏洞警告:通过对微软浏览器IE6跨域漏洞的深入研究,我们发现实际上即使在安装了 IE7浏览器的操作系统中,也一样存在类似的问题。这个漏洞并不单独存在于IE6中,而是存在于微软提供的浏览器接口中。在微软提供的浏览器内核接口中存 在的一个尚未被修补的安全问题,导致所有在IE内核Trident基础上开发的第三方浏览器都存在一个安全漏洞,可能导致跨域的一些操作,在特定的浏览器 平台上甚至可以导致远程代码执行。我们建议有高安全性要求的用户暂时还是使用oprea,Firefox等浏览器,避免一些第三方浏览器给您带来损失。
阅读全文 »
