10.12. 跨站请求伪造 10.12. 跨站请求伪造 跨站请求伪造（CSRF）是一种漏洞利用，攻击者致使受害的最终用户按恶意URI（例如以误导的链接、图片或重定向提供给用户代理）到达受信任的服务器（通常由存在有效的会话Cookie而建立）。 针对客户端的重定向URI的CSRF攻击允许攻击者注入自己的授权码或访问令牌，这将导致在客户端中使用与攻击者...

使用 Malloc Maleficarum 的堆溢出 House of Mind House of Force House of Spirit 参考 使用 Malloc Maleficarum 的堆溢出 译者：飞龙 原文：Heap overflow using Malloc Maleficarum 预备条件： 理解 glib...

9 安全与加密 目录 links 9 安全与加密 无论是开发Web应用的开发者还是企图利用Web应用漏洞的攻击者，对于Web程序安全这个话题都给予了越来越多的关注。特别是最近CSDN密码泄露事件，更是让我们对Web安全这个话题更加重视，所有人都谈密码色变，都开始检测自己的系统是否存在漏洞。那么我们作为一名Go程序的开发者，一定也需要知道我们的应用...

从外网寻找侵入对方系统的登陆凭证 高级选修实验 从外网寻找侵入对方系统的登陆凭证 作为一个红队成员，找到最初的攻击点可能很麻烦，需要耗费大量的资源。在上本书中，我们尝试过伪造受害者的身份验证页面、购买非常相似的域名来对目标实施钓鱼，以及编写自定义的恶意软件等不同的方法。 有时候，我告诉我的红队队员要保持简单的思想。很多时候，那些令人称赞的高级手段...

跨站点脚本 (XSS) 解决方案 跨站点脚本 (XSS) 在Web应用中， 跨站点脚本 (XSS)有时在被渲染成HTML之前，不能恰当地对用户提交的内容进行转义。 这使得攻击者能够向你的网站页面插入通常以 <script> 标签形式的任意HTML代码。 攻击者通常利用XSS攻击来窃取cookie和会话信息，或者诱骗用户将其私密信息透...

8.3 Return-Oriented Rootkits: Bypassing Kernel Code Integrity Protection Mechanisms 简介 内核完整性保护机制 内核模块签名 W⊕X 自动化 ROP 8.3 Return-Oriented Rootkits: Bypassing Kernel Code Int...

14.6. 其他安全相关事项 14.6.1. 网页应用程序的内在风险 14.6.2. 知道预期什么 14.6.3. 明智地选择软件 14.6.4. 将机器作为整体管理 14.6.5. 用户是参与者 14.6.6. 物理安全 14.6.7. 法律责任 14.6. 其他安全相关事项 Security is not just a techni...

title: 安全 Web 安全概念 开启与关闭配置 match 和 ignore 安全威胁XSS 的防范 Reflected XSS 防范方式 Stored XSS 防范方式 JSONP XSS 其他 XSS 的防范方式 CSP X-Download-Options:noopen X-Content-Type-Options:nosn...

title: 安全 Web 安全概念 开启与关闭配置 match 和 ignore 安全威胁XSS 的防范 Reflected XSS 防范方式 Stored XSS 防范方式 JSONP XSS 其他 XSS 的防范方式 CSP X-Download-Options:noopen X-Content-Type-Options:nosn...

安全 Web 安全概念 开启与关闭配置 match 和 ignore 安全威胁XSS 的防范 Reflected XSS 防范方式 Stored XSS 防范方式 JSONP XSS 其他 XSS 的防范方式 CSP X-Download-Options:noopen X-Content-Type-Options:nosniff X-X...