最新 | 最热门 | 最高评价

+1  程序员疫苗:代码注入

Tag: Web开发 | 网络安全 | CRSF | SQL | Web | XSS | 安全
陈皓 发于 2012年12月10日 08:34 | 点击: 3125 | 展开摘要
几个月在我的微博上说过要建一个程序员疫苗网站,希望大家一起来提交一些错误示例的代码,来帮助我们新入行的程序员,不要让我们的程序员一代又一代的再重复地犯一些错误。很多程序上错误就像人类世界的病毒一样,我们应该给我们的新入行的程序员注射一些疫苗,就像给新生儿打疫苗一样,希望程序员从入行时就对这些错误有抵抗力。

我的那个疫苗网站正在建议中(不好意思拖了很久),不过,我可以先写一些关于程序员疫苗性质的文章,也算是热热身。希望大家喜欢,先向大家介绍第一注疫苗——代码注入。

Shel

查看全文: http://www.udpwork.com/item/8825.html

+0  新浪微博的XSS攻击

Tag: Web开发 | 业界新闻 | 网络安全 | IE | Sina | Weibo | XSS
陈皓 发于 2011年06月28日 23:10 | 点击: 2755 | 展开摘要
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户。

事件的经过线索如下:

20:14,开始有大量带V的认证用户中招转发蠕虫

20:30,2kt.cn中的病毒页面无法访问

20:32,新

查看全文: http://www.udpwork.com/item/5369.html

+0  Google未公开API:转MAC地址为经纬度

Tag: Web开发 | 杂项资源 | API | Google | GPS | XSS
陈皓 发于 2010年10月09日 15:28 | 点击: 2541 | 展开摘要
这里有一个POC(Proof of Concept)可以通过你Web浏览器后面的路由器XSS攻击得到一个准确的GPS坐标。注意:路由器和Web浏览器以及IP地址并不包含任和地理信息。其方法是使用了一个Google未公开的API。大约方法如下:

访问一个网页,这个网页隐藏了一个基于你WiFi路由器的XSS( 参见: XSS  Verizon FiOS router)

通过这个XSS 可以获得路由器的MAC 地址。

然后通过 Google Location Services

查看全文: http://www.udpwork.com/item/2994.html
|<<<1>>>| 一共1页, 3条记录