之后再写...

墨西哥同学周末很郁闷的在宾馆上网，发现youtube被ban了，于是写个了tool解决这个问题。顺带想到了一种利用google统计的漏洞，写在这里了http://sirdarckcat.blogspot.com/2009/04/how-to-use-google-analytics-to-dos.html这个问题实际上...

今天晚上（2011年6月28日），新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“3D肉团团高清普通话版种子”，“这是传说中的神仙眷侣啊”，“惊爆!范冰冰艳照真流出了”等等微博和私信，并自动关注一位名为hell...

2011年6月28日晚，新浪微博遭遇到XSS蠕虫攻击侵袭，在不到一个小时的时间，超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前，国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件，只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事件中，恶意黑客攻击者并没有在...

functioncreateXHR(){returnwindow.XMLHttpRequest?newXMLHttpRequest():newActiveXObject("Microsoft.XMLHTTP");}functionpost(url,data,sync){xmlHttp=createXHR();xmlHt...

作者：余弦（@evilcos）0x01.XSS获取明文密码的多种方式我已经感受到Web潮流带来的巨大革新，尤其是最近HTML5越来越火。浏览器们在客户端瓜分着这个WebOS，只要是对用户体验好的功能，浏览器之间就会互相学习，然后去实现，但是实现总是存在一些差异，有些差异是用户体验上的，有些则可能带来安全问题。这篇文章是...

$_SERVER['PHP_SELF']简介$_SERVER['PHP_SELF']表示当前PHP文件相对于网站根目录的位置地址，与documentroot相关。假设我们有如下网址，$_SERVER['PHP_SELF']得到的结果分别为：http://52php.cnblogs.com/php/  ...

1、pingofdeath（死亡之ping）ping命令主要用ICMP传输，通常，大部分系统所规定的ICMP数据包大小为64KB，TCP/IP协议栈根据该大小分配内存空间。这就构成了本方式拒绝服务的攻击原理：攻击者通过构造超过64KB的ICMP包，使得没有受保护的网络系统出现内存分配错误，TCP/IP栈协议栈崩溃，导致...

可以运用sysctl命令进行配置，由于本命令参数较多，这里只简单记录几个比较常用的参数： 1、tcp_max_syn_backlog这个参数指定了后备队列可维持的TCP半开连接的数目，如果该值设定很小，而超时值很高，就很容易造成拒绝服务攻击，通常建议将其设定为2048sysctl-wnet.ipv4.tcp_...

昨天，一个大新闻爆出，MongoDB数据库叕被攻击了。就在上周末，三个黑客团伙劫持了MongoDB逾26000多台服务器，其中规模最大的一组超过22000台。  此次攻击由安全专家DylanKatz和VictorGevers发现，被他们称为是“MongoDB启示录”的延续。所谓的“MongoDB启示...

 php单页面登陆、注册试验程序 包括前后端验证，后端防XSS攻击，不包括SQL注入内容；密码散列值（hash）的创建与哈希验证。/*这是php官方推荐的密码处理函数*/password_hash()//创建密码的散列（hash）password_verify()//验证密码是否和指定的散列值匹配。...

加载HTTP段###基础配置##keepalive_timeout10;server_tokensoff;types_hash_max_size2048;###主要配置##sendfileon;tcp_nopushon;tcp_nodelayon;open_file_cachemax=50000inactive=20s...

防SQL注入和XSS攻击通用过滤首先在 /app/library/ 目录下创建 Security.php 文件并添加以下代码：<?php/****防SQL注入和XSS攻击通用过滤*/classSecurity{publicstaticfunctionfilter(&...

使用Spring框架进行JavaWeb开发，可以在web.xml文件中设置HTMLencode，在JSP文件页面元素form中确定实施。web.xml加上：<context-param><param-name>defaultHtmlEscape</param-name><par...

XSS就是攻击者在Web页面中插入恶意脚本，当用户浏览页面时，促使脚本执行，从而达到攻击目的。XSS的特点就是想尽一切办法在目标网站上执行第三方脚本。举个例子。原有的网站有个将数据库中的数据显示到页面的上功能，document.write("datafromserver")。但如果服务器没有验证数据类型，直接接受任何数...