EtherDream - 博客园

2015年8月26日

危险的文件夹上传框（已过时）

摘要：上传对话框不仅仅用于选择文件，而是直接授权了脚本对本地的文件访问阅读全文

posted @ 2015-08-26 20:18 EtherDream 阅读(17672) 评论(14) 推荐(26)

2015年6月3日

超大 Cookie 拒绝服务攻击（已过时）

摘要：拒绝服务必须对服务器发起攻击吗？利用 HTTP 的一些特性，可以实现一个本地版的站点屏蔽攻击。阅读全文

posted @ 2015-06-03 07:40 EtherDream 阅读(16363) 评论(46) 推荐(81)

2015年5月5日

怎样的中奖算法能让人信服

摘要：怎样的中奖算法能让人信服？阅读全文

posted @ 2015-05-05 21:36 EtherDream 阅读(10137) 评论(19) 推荐(16)

2015年4月17日

隐私泄露杀手锏 —— Flash 权限反射（已过时）

摘要：不少 Flash 开发人员，只考虑 SWF 被网页嵌套的情况，却忽视了还可以被其他 SWF 嵌套。于是埋下了严重的安全隐患。阅读全文

posted @ 2015-04-17 21:28 EtherDream 阅读(8288) 评论(4) 推荐(15)

2015年3月22日

【探索】自动报警的验证码

摘要：在验证码的渲染上做一点把戏，从而揪出使用外挂的用户阅读全文

posted @ 2015-03-22 17:41 EtherDream 阅读(21681) 评论(66) 推荐(79)

2015年3月17日

【趣事】一根网线发起的攻击

摘要：当年大学里的一段趣事，只用一根网线断掉整个楼的网络阅读全文

posted @ 2015-03-17 12:40 EtherDream 阅读(82189) 评论(269) 推荐(402)

2015年3月13日

【流量劫持】躲避 HSTS 的 HTTPS 劫持

摘要： HSTS 一定程度上解决了 HTTPS 劫持的问题，但仍有躲避的方法阅读全文

posted @ 2015-03-13 17:19 EtherDream 阅读(13502) 评论(6) 推荐(4)

2015年3月12日

【社工】NodeJS 应用仓库钓鱼（已过时）

摘要： npm install 敲错项目名会有大多风险？阅读全文

posted @ 2015-03-12 17:18 EtherDream 阅读(9566) 评论(7) 推荐(14)

2015年2月26日

【XSS】延长 XSS 生命期（已过时）

摘要：让 XSS 蔓延到各个相关联的页面里，即使当前页面关闭仍能运行，实现更持久的攻击阅读全文

posted @ 2015-02-26 20:38 EtherDream 阅读(9177) 评论(24) 推荐(38)

2015年1月23日

【XSS】利用 onload 事件监控流量劫持

摘要：通过 JavaScript 实现跨站资源的监控，提供比 CSP 更详细的信息，以及更灵活的处理方式。阅读全文

posted @ 2015-01-23 14:32 EtherDream 阅读(4547) 评论(4) 推荐(12)

2015年1月21日

对抗假人 —— 前后端结合的 WAF

摘要：传统 Web 防火墙大多只是纯后端的规则分析，完全没有发挥出前端技术的优势。如果能将前后端相结合，又能有如何改进？阅读全文

posted @ 2015-01-21 17:53 EtherDream 阅读(14067) 评论(16) 推荐(28)

2014年11月9日

【流量劫持】SSLStrip 终极版 —— location 瞒天过海

摘要：尽管 HTTPS 前端劫持非常有趣，但我们无法避免脚本跳转的情况。这次，我们使用一种“曲线救国”的方案，变相劫持页面的 location 属性。一个小小的改进，即可成功劫持 99% 的安全站点。阅读全文

posted @ 2014-11-09 17:05 EtherDream 阅读(15848) 评论(8) 推荐(15)

2014年10月23日

【流量劫持】沉默中的狂怒 —— Cookie 大喷发

摘要：在不安全的网络里，只浏览网页不登陆就没事了吗？一种简单的中间人攻击，可以让你打开页面的瞬间，众多账号被黑客所控制。阅读全文

posted @ 2014-10-23 19:58 EtherDream 阅读(16888) 评论(47) 推荐(43)

2014年10月14日

【流量劫持】SSLStrip 的未来 —— HTTPS 前端劫持

摘要：通过注入页面的脚本里应外合，将 HTTPS 劫持发挥到底！阅读全文

posted @ 2014-10-14 17:08 EtherDream 阅读(32187) 评论(18) 推荐(30)

2014年9月29日

Web 前端攻防（2014版）

摘要：古老但猥琐的前端攻击招式阅读全文

posted @ 2014-09-29 11:33 EtherDream 阅读(1720) 评论(0) 推荐(1)

2014年7月23日

流量劫持 —— 浮层登录框的隐患

摘要：浮层登录框，华丽的背后隐藏着的风险阅读全文

posted @ 2014-07-23 14:35 EtherDream 阅读(7913) 评论(7) 推荐(12)

流量劫持能有多大危害？

摘要：流量劫持在Web里的各种利用阅读全文

posted @ 2014-07-23 14:29 EtherDream 阅读(7743) 评论(1) 推荐(10)

流量劫持是如何产生的？

摘要：介绍从古到今劫持流量的途径阅读全文

posted @ 2014-07-23 14:24 EtherDream 阅读(15412) 评论(9) 推荐(28)

XSS 前端防火墙 —— 整装待发

摘要： XSS 防火墙模拟测试阅读全文

posted @ 2014-07-23 14:17 EtherDream 阅读(1919) 评论(0) 推荐(3)

XSS 前端防火墙 —— 天衣无缝的防护

摘要：探讨页面全方位防御的监控点阅读全文

posted @ 2014-07-23 14:08 EtherDream 阅读(2422) 评论(0) 推荐(2)

XSS 前端防火墙 —— 无懈可击的钩子

摘要：打造一个无懈可击的 JavaScript 钩子程序阅读全文

posted @ 2014-07-23 14:05 EtherDream 阅读(3405) 评论(3) 推荐(0)

XSS 前端防火墙 —— 可疑模块拦截

摘要：通过最新的前端技术，探索风险脚本的拦截阅读全文

posted @ 2014-07-23 14:02 EtherDream 阅读(4077) 评论(0) 推荐(0)

XSS 前端防火墙 —— 内联事件拦截

摘要：通过前端脚本，让每一个用户都参与 XSS 的预警阅读全文

posted @ 2014-07-23 13:59 EtherDream 阅读(3878) 评论(1) 推荐(1)

2013年6月14日

WiFi流量劫持—— 浏览任意页面即可中毒！

摘要：流量劫持 + http长缓存投毒 = ? 阅读全文

posted @ 2013-06-14 19:51 EtherDream 阅读(25604) 评论(32) 推荐(25)

2013年4月24日

20行代码写一个CSS覆盖率测试脚本

摘要： document.styleSheets + document.querySelectorAll 分析当前页面CSS规则使用情况。阅读全文

posted @ 2013-04-24 17:43 EtherDream 阅读(3611) 评论(5) 推荐(3)

2013年4月23日

在JavaScript里嵌入大量字符串常量的方法（已过时）

摘要：在函数内的多行注释保存字符常量。阅读全文

posted @ 2013-04-23 16:32 EtherDream 阅读(3762) 评论(10) 推荐(5)

2013年4月8日

Web跨浏览器进程通信

摘要：尝试Web页面实现跨浏览器进程通信阅读全文

posted @ 2013-04-08 13:26 EtherDream 阅读(5199) 评论(3) 推荐(4)

2013年3月12日

在线测试博客园CDN速度（已过时）

摘要：用flash.display.Loader类加载大体积的媒体资源，测试网络带宽。阅读全文

posted @ 2013-03-12 20:08 EtherDream 阅读(3578) 评论(5) 推荐(2)

2013年1月11日

尝试在C++里实现 Java 的 synchronized 关键字

摘要：试着写了一个C++版的synchronized语法糖阅读全文

posted @ 2013-01-11 10:24 EtherDream 阅读(4799) 评论(2) 推荐(2)

2012年12月26日

IE下的一个安全BUG —— 可实时跟踪系统鼠标位置（已过时）

摘要： ie下的一个小bug，可以实时获取屏幕鼠标位置。阅读全文

posted @ 2012-12-26 00:56 EtherDream 阅读(3800) 评论(14) 推荐(5)

2012年12月23日

浅谈网站流量劫持防范措施

摘要：浅谈各种可能出现的网站流量劫持，以及利用前端网页脚本来检测防范方法阅读全文

posted @ 2012-12-23 16:09 EtherDream 阅读(9967) 评论(17) 推荐(11)

2012年12月13日

【分享】所有浏览器可共享数据的JS插件

摘要：用FP的SharedObject实现跨浏览器的持久数据共享阅读全文

posted @ 2012-12-13 10:05 EtherDream 阅读(5845) 评论(7) 推荐(2)

2012年12月11日

使用显卡加速，把笔记本打造成取暖器！

摘要： GPU烧机测试。。。阅读全文

posted @ 2012-12-11 20:14 EtherDream 阅读(5046) 评论(36) 推荐(12)

2012年8月15日

外链图片也有风险吗？

摘要：列举几种曾经用过的图片外链攻击阅读全文

posted @ 2012-08-15 16:23 EtherDream 阅读(10859) 评论(30) 推荐(34)

2012年8月6日

停电后，JavaScript定时器居然变慢了~

摘要：节能模式下，IE9的JavaScript定时器频率会降低。阅读全文

posted @ 2012-08-06 19:18 EtherDream 阅读(6303) 评论(33) 推荐(24)

2012年7月18日

利用函数模板技术，写一个简单高效的 JSON 查询器

摘要：用百行代码写一个简单高性能的json的查询语言。简单：直接将查询语句翻译成js运行；高效：使用js的函数模版技术，将翻译好的表达式内嵌到最终函数中，运行速度就和手写优化的一样。阅读全文

posted @ 2012-07-18 09:13 EtherDream 阅读(4904) 评论(16) 推荐(10)

2012年5月29日

JsGear -- JavaScript版变速齿轮

摘要：根据传统变速齿轮原理，移植到JavaScript上，方便动画脚本的观察和调试。插件完全使用JS/CSS编写，引入测试页面即可使用。阅读全文

posted @ 2012-05-29 15:09 EtherDream 阅读(10107) 评论(13) 推荐(8)

2011年12月31日

【分享】曾经做的一个JS小游戏——《Battle City》

摘要：曾经写的一个JS版本《坦克大战》游戏，纯粹的JS/CSS制作。作为2012贺岁礼物分享给大家吧~对于初学OOP思想，或者游戏基本概念的，都可以参考下阅读全文

posted @ 2011-12-31 01:12 EtherDream 阅读(11466) 评论(85) 推荐(49)

2011年11月25日

【探索】用ActionScript模拟运行JavaScript（已过时）

摘要：尝试在ActionScript运行时下执行JavaScript代码。探索借用Flash的IDE调试JS，改进开发模式。阅读全文

posted @ 2011-11-25 16:31 EtherDream 阅读(2181) 评论(4) 推荐(4)

2011年11月8日

标准的JS里，eval和window.eval属于不同的语法！

摘要： ECMA-262中eval是一个类似关键字的标记符。和this一样，既是关键字也是变量（函数变量）。window.eval仅仅是window对象里的一个叫eval的属性，指向eval函数的属性，和eval字面意义完全不同。阅读全文

posted @ 2011-11-08 18:51 EtherDream 阅读(3622) 评论(9) 推荐(5)

EtherDream's Blog