漏洞描述该漏洞是以CVE-2011-1999漏洞为原型来进行讨论。select元素结构中存在一个optioncache结构,该结构是option兀素的指针数组,该数组存在数组越界漏洞。将option元素添加到select元素过程中,如果添加的索引是负值,那么会覆盖数组前方的数据。浏览器的数组越界漏...
一、从被感染的系统进行恢复或者重建如果你的系统受到感染,你的第一步工作就是对系统进行恢复或重建,进行恢复的工作包括对病毒进行清除和对破坏的数据进行修复,如果是重建,则需要在可靠的介质中把破坏的数据从备份进行恢复,重建是个非常繁琐的工作,在某些情况下,不如你的重要数据被大量破坏,这个时候你...
一、事情的经过一天我正在网上忙着找一些CIW安全培训教程,一个网友突然传给我一个网址,告诉我他现在是该网站的网管,网站服务内容是为企业,个人提供收费型的虚拟空间服务,让我帮他检测网站的安全性。我首先进行了一些扫描Port的活动,既然是朋友,又被授予合法检测权,就用不着使用SYN刺探方式了,而且SYN...
Windows2000是一个先进的操作系统,在安全上改掉了以往2000版本的不少毛病,用windows2000建立的web站点在所有的网站中占了很大一部分比例,但2000的安全问题一直比较突出,使得一些基于2000的网站有一种如履薄冰的感觉,然而微软并没有明确的解决方案,只是推出了一个个补丁程序,各...
Opera浏览器已经重置所有用户的密码,其服务后,黑客能够获得本周访问它的一个云服务器。Opera软件公司昨晚报道的安全漏洞,这影响了其网络浏览器的同步功能的所有用户。所以,如果你一直使用Opera的云同步服务,它允许用户同步浏览器跨多个平台的数据和设置,黑客可能已经侵入了你的密码,登录名称,和其他...
如果你是EpicGames的虚幻竞技场的粉丝,或者说你曾经参加了由EpicGames运行在线的论坛进行讨论的话,那么你就可能需要尽快更改您的密码了。虚幻引擎和它的创造者,EpicGames公司的论坛最近被一个不知名的黑客或黑客组织入侵了,盗取了80多万的论坛帐户。黑客通过利用已知的漏洞入侵...
金梅写真程序2003版本是金梅ASO程序专卖店出品的一款收费的ASP+ACCESS程序,在其网站上是明码标价250元出售的,这套程序可能知道的人并不多,但目前金梅专卖店的另一款金梅收费电影程序2003第三版在网络上风头正劲,被许多电影网站所采用。一开始我是想在网上下载金梅专卖店的电影程序来看看有什么...
2008年,安全专家RobertHansen与JeremiahGrossman发现了一种被他们称为“Clickjacking”(点击劫持)的攻击,这种攻击方式影响了几乎所有的桌面平台,包括IE、Safari、Firefox、Opera以及AdobeFlash。两位发现者准备在当年的OWASP安...
盗帅下载系统是一个使用比较广泛的ASP程序,开发者经过修改后在10月6号大不了盗帅2.0正式版,解决了以前存在的大部分SQL,injextion漏洞。上次我在查找盗帅2.0的注入漏洞的时候就发现盗帅下载系统的COOKIE是明文保存的,就像试试有没有跨站攻击漏洞。正好这几天闲暇下来,把这个程序翻出来看...
前面的章节,我们讨论了许多浏览器、服务器端的安全问题,这些问题都有对应的解决方法。总的来说,实施安全方案,要达到好的效果,必须要完成两个目标:(1)安全方案正确、可靠;(2)能够发现所有可能存在的安全问题,不出现遗漏。只有深入理解漏洞原理之后,才能设计出真正有效、能够解决问题的方案,本书的许多篇幅,...
