安全技术

[置顶] Aiiphp框架测试版发布,欢迎测试!

[置顶] Linux常用运维命令和linux常用管理操作命令(整理)

[置顶] Linux/Window服务器安全配置等常用软件下载列表

X-Frame-Options头未设置轻微漏洞的修复问题

jincon 发表于 2017-03-20, 10:37 AM

什么是x-frame-options 响应头
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

使用 X-Frame-Options
X-Frame-Options 有三个值:

DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN

» 阅读全文

关键词: 漏洞 , x-frame-options

发表在: 安全技术 0 条评论 阅读 2080 次

分享几个常用的web杀毒查杀后门软件

jincon 发表于 2016-02-18, 11:35 AM

分享几个常用的web杀毒查杀后门软件,感觉还不错,对于网上一些下载的源码不放心的,

可以下载之后,扫扫哈。。。


360网站安全在线木马后门扫描查云杀平台

http://safe.webscan.360.cn/


D盾的web查杀。

http://www.d99net.net/News.asp?id=62

暗组的web杀毒
http://www.fsg2.org/archives/18/

护卫神web杀毒:
http://www.huweishen.com/soft/kill/


linux python版webshell智能查杀程序-SeayFindShell

http://www.cnseay.com/3984/

需要python 2.7 支持。



发表在: 安全技术 0 条评论 阅读 1544 次

MySQL数据库防火墙 – SQLassie 的使用方法

jincon 发表于 2015-07-18, 7:20 PM

SQLassie是一款免费的MySQL数据库防火墙,可以实时阻断SQL注入攻击。SQLassie采用了Bayesian算法发现异常的SQL请求,相当的高效。

使用方式

SQLassie目前仅支持MySQL,开始使用前,你需要配置SQLassie以连接MySql数据库;启动后,SQLassie会在不同端口进行监听并保护数据库。

S1:启动SQLassie 

./sqlassie -s /var/run/mysql/mysqld.sock -l 3307

S2:配置MediaWiki的配置文件LocalSettings.php,连接3307端口 

$wgDBServer = "127.0.0.1:3307"

注意:这里不能使用localhost

下载地址

关键词: sqlassie

发表在: 安全技术 0 条评论 阅读 2094 次

android安全之webview远程代码执行漏洞

jincon 发表于 2015-06-08, 9:41 AM

【基础知识】

   webviewAndroid用于浏览网页的组件,它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互,但是没有限制已注册JAVA类的方法调用,导致可以利用反射机制调用未注册的其它任何JAVA类。

  当Android用户访问恶意网页时,会被迫执行系统命令,如安装木马、盗取敏感数据等。

 

【漏洞重现】

构建一个使用Webview组件的程序,

1AndroidManifest.xml添加网络访问权限

» 阅读全文

关键词: 远程代码执行 , webview

发表在: 安全技术 , 技术开发 0 条评论 阅读 3355 次

Web应用程序集成安全工具:burpsuite_pro_v1.5.18 破解版下载

jincon 发表于 2014-07-10, 8:42 AM

Burp Suite很多人都把他当成攻击工具了,其实,这就像菜刀一样,在厨师手里他只是切菜用的,而在坏人手里,他就是杀人工具,所以怎么用你懂的。

20131127202837_76148.jpg - 大小: 78.56 KB - 尺寸: 690 x 410 - 点击打开新窗口浏览全图

» 阅读全文

关键词: web安全 , burp suite破解版

发表在: 安全技术 0 条评论 阅读 2227 次

女神,借用电脑一看可否?我要用mimikatz抓取你的Windows密码

jincon 发表于 2014-07-09, 1:20 PM

女神,借用电脑一看可否?我要mimikatz抓取你的windows密码

“女神,借用电脑一看可否?”

mimikatz是法国一个牛B的人写的轻量级调试器,

mimikatz 最近发布了它的2.0版本,抓密码命令更加简单了,估计作者也看到了对它这个神器最多的研究就是直接抓密码,为神马不发布一个直接一键版,哈哈哈哈哈。新 功能还包括能够通过获取的kerberos登录凭据,绕过支持RestrictedAdmin模式的win8或win2012svr的远程终端(RDP) 的登陆认证。建议默认禁止RestrictedAdmin模式登录。更多功能等着大家来发现

» 阅读全文

关键词: windows密码 , mimikatz

发表在: 安全技术 0 条评论 阅读 2195 次

利用location来变形我们的XSS跨站攻击

jincon 发表于 2014-07-07, 8:27 AM

现在的小白也大体上懂得xss跨站攻击了,各种过滤手段层出不穷,还会过滤很多特殊符号和关键词,比如&、(、)、#、'、",特别是&和括号,少了的话payload很难构造出来。

见代码: 

<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])?$_GET['xss']:'';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
echo "<img src=\"{$xss}\">";
?>
所有人肯定都知道,先闭合双引号,后面使用onerror事件触发XSS。输入xss=1" onerror=alert(1),就可以构造成如下html:

» 阅读全文

关键词: 跨站攻击 , xss , 安全

发表在: 安全技术 0 条评论 阅读 3277 次

修改php源码防止Webshell跨目录浏览文件(防跨站)

jincon 发表于 2014-05-04, 4:04 PM

php的Webshell能够实现浏览网站目录、修改网站文件、数据库查询、修改、下载等等,做为个人工具可谓功能完善且强大,做为黑客工具可谓功能恐怖,危害极大!做网站需要在各个方面做好安全防御。

首先,修改PHP源码后重新编译PHP环境 

tar zxvf php-5.2.14.tar.gz
gzip -cd php-5.2.14-fpm-0.5.14.diff.gz | patch -d php-5.2.14 -p1
cd php-5.2.14/
然后编辑文件main/fopen_wrappers.c,找到 php_check_open_basedir_ex 函数的定义部分,大约在 220行。在如下代码之后插入修改代码

» 阅读全文

关键词: 防跨站 , php

发表在: 安全技术 0 条评论 阅读 2856 次
Total: 912Next ›