2015年4月17日
隐私泄露杀手锏 —— Flash 权限反射(已过时)
摘要: 不少 Flash 开发人员,只考虑 SWF 被网页嵌套的情况,却忽视了还可以被其他 SWF 嵌套。于是埋下了严重的安全隐患。 阅读全文
posted @ 2015-04-17 21:28 EtherDream 阅读(8068) 评论(4) 推荐(15) 编辑
2015年3月22日
【探索】自动报警的验证码
摘要: 在验证码的渲染上做一点把戏,从而揪出使用外挂的用户 阅读全文
posted @ 2015-03-22 17:41 EtherDream 阅读(21336) 评论(66) 推荐(78) 编辑
2015年3月17日
【趣事】一根网线发起的攻击
摘要: 当年大学里的一段趣事,只用一根网线断掉整个楼的网络 阅读全文
posted @ 2015-03-17 12:40 EtherDream 阅读(80275) 评论(268) 推荐(402) 编辑
2015年3月13日
【流量劫持】躲避 HSTS 的 HTTPS 劫持
摘要: HSTS 一定程度上解决了 HTTPS 劫持的问题,但仍有躲避的方法 阅读全文
posted @ 2015-03-13 17:19 EtherDream 阅读(13184) 评论(6) 推荐(4) 编辑
2015年3月12日
【社工】NodeJS 应用仓库钓鱼(已过时)
摘要: npm install 敲错项目名 会有大多风险? 阅读全文
posted @ 2015-03-12 17:18 EtherDream 阅读(9370) 评论(7) 推荐(14) 编辑
2015年2月26日
【XSS】延长 XSS 生命期(已过时)
摘要: 让 XSS 蔓延到各个相关联的页面里,即使当前页面关闭仍能运行,实现更持久的攻击 阅读全文
posted @ 2015-02-26 20:38 EtherDream 阅读(8918) 评论(24) 推荐(38) 编辑
2015年1月23日
【XSS】利用 onload 事件监控流量劫持
摘要: 通过 JavaScript 实现跨站资源的监控,提供比 CSP 更详细的信息,以及更灵活的处理方式。 阅读全文
posted @ 2015-01-23 14:32 EtherDream 阅读(4287) 评论(4) 推荐(12) 编辑
2015年1月21日
对抗假人 —— 前后端结合的 WAF
摘要: 传统 Web 防火墙大多只是纯后端的规则分析,完全没有发挥出前端技术的优势。如果能将前后端相结合,又能有如何改进? 阅读全文
posted @ 2015-01-21 17:53 EtherDream 阅读(13415) 评论(16) 推荐(28) 编辑
2014年11月9日
【流量劫持】SSLStrip 终极版 —— location 瞒天过海
摘要: 尽管 HTTPS 前端劫持非常有趣,但我们无法避免脚本跳转的情况。这次,我们使用一种“曲线救国”的方案,变相劫持页面的 location 属性。一个小小的改进,即可成功劫持 99% 的安全站点。 阅读全文
posted @ 2014-11-09 17:05 EtherDream 阅读(15124) 评论(8) 推荐(15) 编辑
2014年10月23日
【流量劫持】沉默中的狂怒 —— Cookie 大喷发
摘要: 在不安全的网络里,只浏览网页不登陆就没事了吗?一种简单的中间人攻击,可以让你打开页面的瞬间,众多账号被黑客所控制。 阅读全文
posted @ 2014-10-23 19:58 EtherDream 阅读(16444) 评论(47) 推荐(43) 编辑
2014年10月14日
【流量劫持】SSLStrip 的未来 —— HTTPS 前端劫持
摘要: 通过注入页面的脚本里应外合,将 HTTPS 劫持发挥到底! 阅读全文
posted @ 2014-10-14 17:08 EtherDream 阅读(31068) 评论(18) 推荐(30) 编辑
2014年9月29日
Web 前端攻防(2014版)
摘要: 古老但猥琐的前端攻击招式 阅读全文
posted @ 2014-09-29 11:33 EtherDream 阅读(1671) 评论(0) 推荐(0) 编辑
2014年7月23日
流量劫持 —— 浮层登录框的隐患
摘要: 浮层登录框,华丽的背后隐藏着的风险 阅读全文
posted @ 2014-07-23 14:35 EtherDream 阅读(7733) 评论(7) 推荐(12) 编辑
流量劫持能有多大危害?
摘要: 流量劫持在Web里的各种利用 阅读全文
posted @ 2014-07-23 14:29 EtherDream 阅读(7433) 评论(1) 推荐(10) 编辑
流量劫持是如何产生的?
摘要: 介绍从古到今劫持流量的途径 阅读全文
posted @ 2014-07-23 14:24 EtherDream 阅读(14960) 评论(9) 推荐(28) 编辑
XSS 前端防火墙 —— 整装待发
摘要: XSS 防火墙模拟测试 阅读全文
posted @ 2014-07-23 14:17 EtherDream 阅读(1840) 评论(0) 推荐(3) 编辑
XSS 前端防火墙 —— 天衣无缝的防护
摘要: 探讨页面全方位防御的监控点 阅读全文
posted @ 2014-07-23 14:08 EtherDream 阅读(2322) 评论(0) 推荐(2) 编辑
XSS 前端防火墙 —— 无懈可击的钩子
摘要: 打造一个无懈可击的 JavaScript 钩子程序 阅读全文
posted @ 2014-07-23 14:05 EtherDream 阅读(3285) 评论(3) 推荐(0) 编辑
XSS 前端防火墙 —— 可疑模块拦截
摘要: 通过最新的前端技术,探索风险脚本的拦截 阅读全文
posted @ 2014-07-23 14:02 EtherDream 阅读(3857) 评论(0) 推荐(0) 编辑
XSS 前端防火墙 —— 内联事件拦截
摘要: 通过前端脚本,让每一个用户都参与 XSS 的预警 阅读全文
posted @ 2014-07-23 13:59 EtherDream 阅读(3761) 评论(1) 推荐(1) 编辑
2013年6月14日
WiFi流量劫持—— 浏览任意页面即可中毒!
摘要: 流量劫持 + http长缓存投毒 = ? 阅读全文
posted @ 2013-06-14 19:51 EtherDream 阅读(24465) 评论(32) 推荐(25) 编辑
2013年4月24日
20行代码写一个CSS覆盖率测试脚本
摘要: document.styleSheets + document.querySelectorAll 分析当前页面CSS规则使用情况。 阅读全文
posted @ 2013-04-24 17:43 EtherDream 阅读(3563) 评论(5) 推荐(3) 编辑
2013年4月23日
在JavaScript里嵌入大量字符串常量的方法(已过时)
摘要: 在函数内的多行注释保存字符常量。 阅读全文
posted @ 2013-04-23 16:32 EtherDream 阅读(3718) 评论(10) 推荐(5) 编辑
2013年4月8日
Web跨浏览器进程通信
摘要: 尝试Web页面实现跨浏览器进程通信 阅读全文
posted @ 2013-04-08 13:26 EtherDream 阅读(5040) 评论(3) 推荐(4) 编辑
2013年3月12日
在线测试博客园CDN速度(已过时)
摘要: 用flash.display.Loader类加载大体积的媒体资源,测试网络带宽。 阅读全文
posted @ 2013-03-12 20:08 EtherDream 阅读(3520) 评论(5) 推荐(2) 编辑
2013年1月11日
尝试在C++里实现 Java 的 synchronized 关键字
摘要: 试着写了一个C++版的synchronized语法糖 阅读全文
posted @ 2013-01-11 10:24 EtherDream 阅读(4714) 评论(2) 推荐(2) 编辑
2012年12月26日
IE下的一个安全BUG —— 可实时跟踪系统鼠标位置(已过时)
摘要: ie下的一个小bug,可以实时获取屏幕鼠标位置。 阅读全文
posted @ 2012-12-26 00:56 EtherDream 阅读(3770) 评论(14) 推荐(5) 编辑
2012年12月23日
浅谈网站流量劫持防范措施
摘要: 浅谈各种可能出现的网站流量劫持,以及利用前端网页脚本来检测防范方法 阅读全文
posted @ 2012-12-23 16:09 EtherDream 阅读(9844) 评论(17) 推荐(10) 编辑
2012年12月13日
【分享】所有浏览器可共享数据的JS插件
摘要: 用FP的SharedObject实现跨浏览器的持久数据共享 阅读全文
posted @ 2012-12-13 10:05 EtherDream 阅读(5674) 评论(7) 推荐(2) 编辑
2012年12月11日
使用显卡加速,把笔记本打造成取暖器!
摘要: GPU烧机测试。。。 阅读全文
posted @ 2012-12-11 20:14 EtherDream 阅读(4789) 评论(36) 推荐(12) 编辑
2012年8月15日
外链图片也有风险吗?
摘要: 列举几种曾经用过的图片外链攻击 阅读全文
posted @ 2012-08-15 16:23 EtherDream 阅读(10414) 评论(30) 推荐(34) 编辑
2012年8月6日
停电后,JavaScript定时器居然变慢了~
摘要: 节能模式下,IE9的JavaScript定时器频率会降低。 阅读全文
posted @ 2012-08-06 19:18 EtherDream 阅读(6205) 评论(33) 推荐(25) 编辑
2012年7月18日
利用函数模板技术,写一个简单高效的 JSON 查询器
摘要: 用百行代码写一个简单高性能的json的查询语言。简单:直接将查询语句翻译成js运行;高效:使用js的函数模版技术,将翻译好的表达式内嵌到最终函数中,运行速度就和手写优化的一样。 阅读全文
posted @ 2012-07-18 09:13 EtherDream 阅读(4810) 评论(16) 推荐(10) 编辑
2012年5月29日
JsGear -- JavaScript版变速齿轮
摘要: 根据传统变速齿轮原理,移植到JavaScript上,方便动画脚本的观察和调试。插件完全使用JS/CSS编写,引入测试页面即可使用。 阅读全文
posted @ 2012-05-29 15:09 EtherDream 阅读(8730) 评论(12) 推荐(8) 编辑
2011年12月31日
【分享】曾经做的一个JS小游戏——《Battle City》
摘要: 曾经写的一个JS版本《坦克大战》游戏,纯粹的JS/CSS制作。作为2012贺岁礼物分享给大家吧~对于初学OOP思想,或者游戏基本概念的,都可以参考下 阅读全文
posted @ 2011-12-31 01:12 EtherDream 阅读(11028) 评论(85) 推荐(49) 编辑
2011年11月25日
【探索】用ActionScript模拟运行JavaScript(已过时)
摘要: 尝试在ActionScript运行时下执行JavaScript代码。探索借用Flash的IDE调试JS,改进开发模式。 阅读全文
posted @ 2011-11-25 16:31 EtherDream 阅读(2142) 评论(4) 推荐(4) 编辑
2011年11月8日
标准的JS里,eval和window.eval属于不同的语法!
摘要: ECMA-262中eval是一个类似关键字的标记符。和this一样,既是关键字也是变量(函数变量)。window.eval仅仅是window对象里的一个叫eval的属性,指向eval函数的属性,和eval字面意义完全不同。 阅读全文
posted @ 2011-11-08 18:51 EtherDream 阅读(3345) 评论(9) 推荐(5) 编辑
【分享】翻出过去的一个多彩泡泡屏保特效(JS+CSS版)
摘要: 整理文件时翻出一个好久前做的泡泡屏保的特效,纯JS+CSS做的。回想了下,是去年年初时看见XP下那个流行的泡泡屏保,突然想移植到JS版本来。但有做着才发现有不少麻烦的问题解决不好,于是没继续。   和XP系统自带的那个屏保一样,从屏幕一个角落里冒出很多泡泡,然后在屏幕里碰撞反弹。泡泡有着半透明的渐变色,并且颜色也是在不停的变换。 阅读全文
posted @ 2011-11-08 12:11 EtherDream 阅读(12529) 评论(14) 推荐(12) 编辑
2011年10月25日
【分享】Doodle精美相册。收集了近几年的Google Logo
摘要: 前些时候做的一个卡片式相册,收集了近几年的Doodle。 本人最忠诚的Google Fans :) 页面支持所有的桌面浏览器外,还兼容了iOS系统的mobile safari。你可以体验下用手指拖曳精美的Doodle卡片~ 在桌面电脑上,你的显示器分辨率越高,视觉效果就越好,别忘了可以按F11全屏浏览。 页面除了用来观赏外,另一个用途就是测试你的浏览器性能。目前排名是Firefox最流畅,而据称渲染最快的Opera反倒最慢... 有iPad2或者iPhone4S的朋友不妨可以试试,双核的强大威力:) 阅读全文
posted @ 2011-10-25 22:00 EtherDream 阅读(3214) 评论(15) 推荐(4) 编辑
2011年10月9日
【挑战极限】最短AJAX创建代码
摘要: 无聊时尝试了下最短的XHR创建代码 阅读全文
posted @ 2011-10-09 00:14 EtherDream 阅读(3687) 评论(12) 推荐(6) 编辑