摘要： 这几天Linux用户们可能不能愉快地玩耍了，红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强！[OpenSSL心脏出血漏洞全回顾]http://www.freebuf.com/articles/network/32171.h... 阅读全文

摘要： 近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞，该漏洞是4月7号国外黑客曝光的。据Vox网站介绍，来自Codenomicon和谷歌安全部门的研究人员，发现OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏... 阅读全文

摘要： 1、原理Struts2的核心是使用的webwork框架，处理action时通过调用底层的getter/setter方法来处理http的参数，它将每个http参数声明为一个ONGL（这里是ONGL的介绍）语句。当我们提交一个http参数：?user.address.city=Bishkek&user[... 阅读全文

摘要： procedure TForm1.FormCreate(Sender: TObject);begin form1.Caption:=form1.Caption +'+Create';end;procedure TForm1.FormActivate(Sender: TObject);begin fo... 阅读全文

摘要： 基础知识一、虚拟地址和偏移量转换 由于Windows程序是运行在386保护模式下，在保护模式下，程序访问存储器所使用的逻辑地址称为虚拟地址（Virual Address，VA）。与实地址模式下的分段地址类似，虚拟地址也可写成"段：偏移量"的形式，这里的段是指段选择器。 文件执行时将被映像到指定内... 阅读全文

摘要： 在过去的两个星期里，我已经在DEFCON22CTF里检测出了两个不同的问题：“shitsco”和“nonameyet”。感谢所有 的意见和评论，我遇到的最常见的问题是：“我怎么才能在CTFs里开始？”在不久前我问过自己一样的问题，所以我想要给出些对你追求CTFs的建议和资 源。最简单的方法就是注... 阅读全文

摘要： 《web之困：现代web应用安全指南》在web安全领域有“圣经”的美誉，在世界范围内被安全工作者和web从业人员广为称道，由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写，是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入，以探讨浏览器的各... 阅读全文

摘要： ssrf攻击概述很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击（Server-side Reques... 阅读全文

摘要： 许多Web应用程序提供的功能将数据从其他Web服务器，由于种种原因。下载XML提要，从远程服务器，Web应用程序可以使用用户指定的URL，获取图像，此功能可能会被滥用，使制作的查询使用易受攻击的Web应用程序作为代理运行在远程攻击其他服务的基于文本的文件等。 /本地服务器。通过这种滥用而产生的功能被... 阅读全文

摘要： 经常看到有些VB的例子中直接用个CreateObject就可调用系统功能（大多是COM对象），像用户设定，网络设定等等。虽然C#中可以通过使用VB的命名空间的方法来调用CreateObject函数，但是这样比较没什么用，因为生成的对象的所带有的方法都不能使用。C#中还可以直接用添加引用的方式来调用一... 阅读全文