小编 渗透测试者必备的基本技能有哪些
随着国内外重大信息安全事故数量的急剧增长,安全在整个IT行业中的不断升温,国内外渗透测试从业者也不断的增多,但是安全体系庞大复杂,并非朝夕就能掌握相关的专业知识和技能。最近在国外的一篇博客上看见一位安全专家根据他多年的安全从业经验,对渗透测试者所需要的...
AceNet AceRepoter软件的简单漏洞分析(图文)
0x00AceNet简介0×01环境概述0×02漏洞概述0×03后门分析0×04漏洞修复作者:itleaf0x00AceNet简介 AceNet Technology Inc. 成立于2003年,总部位于...
QQ空间存储型XSS漏洞的组合利用(图解)
1. QQ空间某处正则混乱,导致恶意构造。2. QQ空间某文件存在潜在风险3. 1+2 = 此漏洞详细说明:1. 一开始的目标是这个http://b.qzone.qq.com/cgi-bin/custom/modify_custom_window.cg...
思科cisco路由器基本配置教程 路由设置教程
思科路由器配置过程还是比较复杂的,需要考虑的因素很多,特别在安全方面。其实没必要把路由器想的那么复杂,其实路由器就是一个具有多个端口的计算机,只不过它在网络中起到的作用与一般的PC不同而已。如何才能真正的做好思科路由器的配置工作?下面,我们就针对这个问...
手机木马盗取网银过程大揭秘 验证码短信尤为关键
验证码短信是手机支付过程中,木马最觊觎也是最薄弱的环节,360手机安全专家经过高强度的技术攻坚,终于实现对支付短信迄今为止最为的全面保护。新版可对支付短信进行加密、销毁,并可及时提醒用户安全状态。目前,360手机卫士的最新版已经可以通过官网进行下载。 ...
qq邮箱的几个跨站的方式及修复方案(用word文档,flash跨站,文本型附件等)
QQ邮箱储存型xss,无任何过滤哦亲..邮箱打开附件处文本型附件可以直接打开,对文本字符无任何过滤。在所有ie内核的浏览器下面触发文本内的xss通过以下步骤可在现漏洞首先建个记事本输入<script>alert("by:pijiu...
分享几个WebSite网站防黑经验
1 .设置严密权限 上传目录只给写入、读取权限绝对不能给执行权限 每个网站WebSite使用独立用户名和密码权限设置为Guest 命令: net localgroup users myweb /del 设置MSSQL、Apache、MySQL以Gues...
如何使Linux服务器变得更安全
牢记以下这七点会让你的Linux服务器变得更安全 图1:运行中的服务。 安装所需的服务 如果你打算运行一台服务器,可能会想“我有来自Linode的40GB固态硬盘(SSD)存储系统,于是我可以安装想要安装的任何服务。”没错,你的...
防范网页挂马攻击 从对WEB站点进行安全评估开始
对于一些大型网站来说,通常拥有一整套已经执行了的WEB站点安全防范解决方案,但是,为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能...
Javascript字符串截断 with DOM XSS的方法介绍
在IE中javascript的字符串可以被NULL字符截断,不过仅仅是getValue的时候截断.测试代码:alert(\’abc\\0 def\’)如果只是这样最多就是spoofing,但配合IE(<=8)的一个解析bu...
远程软件盗窃硬盘数据的3种防止方法
很多时候当一台计算机中毒以后,我们的远控软件就会查看到你硬盘的重要数据,从而将之盗取。我们怎么防止这种情况出现呢?其实您可以把硬盘加密码。但是如果入侵者用远控软件访问就不需要输入密码,直接就能访问到你的硬盘。 方法一: 运行regedit命令 进入...
加加米点击普通网站可刷积分的介绍及其修复方法(图解)
通过该漏洞,可以刷加加米的积分详细说明:通过Fiddler软件 可以截取包 达到修改js目的让这里的20不用再等待 直接提交ajax 来做时间欺骗之前js文件click.js 复制代码 代码如下: function init(s_time, d_del...
