本文发表于《黑客防线》
作者:Kyran
译者:riusksk ( 泉哥 )
1.前言
XSS(Cross-Site Scripting )攻击主要有两种类型,一种叫永久型(persistent),它存储在服务端,只不过需要用户访问存在漏洞的页面;另一种叫反射型 (reflective),它存在URI中,需要用户点击链接才能触发。永久型XSS漏洞被认为更为危险,但反射型XSS漏洞更为普遍。大部分的 javascript worm都是使用永久型XSS漏洞进行攻击的。在“pseudo-reflective”蠕虫的第一版本诞生前,还没有一使用reflective payload 编写的XSS蠕虫的案例记载。本文将向您展示如何通过使用reflective payload来编写蠕虫以达到永久性传播的目的。
阅读全文 »
原文在这里:http://pastebin.com/f751e9f5b
这里就不发全文了,全文放到txt里了,地址:astalavista_hacked.txt
The Hacking & Security Community
[+] Founded in 1997 by a hacker computer enthusiast
[-] Exposed in 2009 by anti-sec group
阅读全文 »
作者:tombkeeper
以下主要是写给订阅这个blog的非信息安全专业人士看的,同行们可以忽略。
关于漏洞的相关信息在这里:http://www.microsoft.com/china/technet/security/advisory/971778.mspx。
目前微软还没有修复该漏洞。运气好的话,也许微软会在本月就发布补丁,但更大的可能是至少到下个月中旬才会有补丁。
无论你是否使用了微软提供的临时解决方案,我都建议大家在IE中进行以下的额外安全设置:
阅读全文 »
来源:80sex
DirectShow 0day是一个中率极高的0day漏洞,目前已经开始在网上爆发,其攻击形势不亚于去年的IE7 0day以及往年的ANI 0day。
攻击特性如下:
阅读全文 »
BY flyh4t
http://www.wolvez.org
2008-12-12
DedeCMSV53发布了,但是依旧没有将变量覆盖漏洞彻底修补。这个漏洞和ryat那个很相似 :)
看核心文件include/common.inc.php中的代码
阅读全文 »
来源:cnBeta
上个月,安全调查人员发现一群地下黑客在高价收购2003年生产的诺基亚1100手机,怀疑诺基亚1100上存在漏洞可以被黑客利用。诺基亚声明它并不清楚为什么犯罪分子要花数千欧元购买只要十几美元的旧手机。现在Ultrascan的调查人员重现了使用诺基亚1100手机入侵银行账户的过程,终于明白为什么黑客会对其发生兴趣:利用黑客自己编写的软件,手机可用于访问受害人的银行账户。
阅读全文 »
