# 鬼仔:之前有收藏这个地址,今天又在包子那里看到,包子给起了一个名字,叫 Web安全工具大汇聚 。
原文地址 OWASP的wiki里
Monday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso – http://www.packetfocus.com/hackos/
DVL (Damn Vulnerable Linux) – http://www.damnvulnerablelinux.org/
阅读全文 »
作者:aullik5
今天这篇主要是要讲以下这么几件事情:
1. iframe的限制
2. 突破iframe获取本地cookie的思路
3. 利用Cross Iframe Trick突破iframe安全限制
我的测试环境是: IE 7 (7.0.5730.13)
以下所有的内容全部经过我在IE7中测试,是真实有效的结果。
Iframe的限制:
因为iframe这个玩意比较特殊,所以浏览器对它一般都有一些限制。
首先父窗口不能控制子窗口的js,只能读取一些对象;子窗口也不能使用父窗口的js,也只能读部分对象,更多的比如document啥的都限制了。
阅读全文 »
不知道大家注意到没,最近更新都不太及时,每次都是积攒很多,然后一次性更新。
所以大家的阅读器里就会一下子出现很多的未读。
最近我的blog真是多灾多难,转了wordpress之后,放到了mediatemple上,结果又因为资源占用问题被罚款(1、2),实在没办法放到了国内的服务器上,结果又嫌win下跑的不爽,就又换到朋友送我的GoDaddy上,以为终于可以安稳了,结果现在又出现很奇怪的问题,以至于我要挂代理或者VPN才能访问我的blog,因此才会更新不及时。
部分河南网通无法访问我的blog,包括我自己,具体现象为:
连接被重置,清下cookies就可以访问几分钟,之后就又被重置。
tracert一下,正常。
本来连接被重置是被GFW的典型表现,但是我清下cookies却就又可以访问了。
试着换回默认主题,禁用所有插件,不行。
甚至直接在服务器上绑一个域名,然后全新安装一个wordpres,问题依然存在。
这样已经可以确定是服务器的问题了,但是我不明白为什么清下cookies就可以访问几分钟。
准备再买一个Dreamhost,然后搬过去,希望不要再出现奇怪的问题。
ps:iPhone升级到了2.0,升级过程中竟然还正好遇到停电,不过好在没变砖,2.0还没1.1.4好用,速度慢,不稳定,耗电量大,唯一的好处就是有了很多破解的游戏和软件,也装上了metasploit玩,不过我做的自定义固件包明明有设置升级BootLoader到4.6的,结果还是没升上去,还是又用BootNeuter重新刷了一下BL。(这个ps好长)
Tags: Cookie, WordPress作者:啊D
现在很多网站都加了防注入系统代码,你输入注入语句将无法注入~~感觉这样的防注入系统不错,但防注入系统没有注意到 Cookies 的问题!所以就有了Cookies注入~~
我们来研究一下怎样情况下才会有Cookies注入!如果你学过ASP你应该会知道
Request.QueryString (GET)
或
Request.Form (POST)!
呵,没错,这就是我们用于读取用户发给WEB服务器的指定键中的值!我们有时为了简化代码,会写成
ID=Request("ID")
这样写法是简单了,但问题就来了~~~我们先看WEB服务是怎样读取数据的,他是先取GET中的数据,没有再取POST中的数据,还会去取Cookies中的数据(晕,书上没有这么说,这是和小高交流时才知道~~看来书说的不全~~)
阅读全文 »
