qqzoneQQ空间漏洞扫描器的设计attilax总结
qqzoneQQ空间漏洞扫描器的设计attilax总结
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm1
1.1. 获取对方qq(第三方,以及其他机制)
1.2. QQ空间的html流程
http://user.qzone.qq.com/314087978
http://b198.photo.store.qq.com/psb?/V12tKdAY47FMFv/m0Xx8t61vKpjOA38laRrDIOsa3aJ86Vn1QxvkbGXf4Y!/c/dMYAAAAAAAAA&n=1&rf=fhpinshouxia
1.3. 判断是否有权限
1.4. 2015年度Web服务器安全漏洞 TOP5
Line 18: 一、JAVA反序列化系列漏洞
Line 44: 二、Redis 未授权访问漏洞
Line 56: 三、Juniper Networks(瞻博网络)远程管理访问后门
Line 64: 四、IIS系列Http.sys处理Range整数溢出漏洞
Line 75: 五、BIND9 TKEY 拒绝服务漏洞
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm
1、2014年CVE漏洞分布
2、CVE漏洞总数趋势
1、Heartbleed漏洞
2、Shellshock(BASH)漏洞
3、SSL 3.0 POODLE漏洞
4、Microsoft KerberOS权限提升漏洞:
5、BadUSB
6、IE通杀代码执行漏洞
7、Microsoft Windows全版本提权漏洞
8、NTP远程代码执行以及拒绝服务攻击漏洞
CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296
网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
9、Adobe堆缓冲区溢出漏洞
10、Microsoft .NET Framework远程权限提升漏洞
1.6. OWASP十大安全漏洞分别是:
1. 注入,包括SQL、操作系统和LDAP注入。
2. 有问题的鉴别与会话管理。
3. 跨站脚本攻击(XSS)。
4. 不安全的直接对象引用。
5. 安全配置错误。
6. 暴露敏感数据。
7. 函数级访问控制缺失。
8. 跨站请求伪造(CSRF)。
9. 使用存在已知漏洞的组件。
10. 未验证的重定向。
OWASP发布2013年十大Web应用安全漏洞 - 极客头条 - CSDN.NET.html
参考资料
实战腾讯QQ ClientKey漏洞【勿干坏事喔】.html
技术揭秘“QQ空间”自动转发不良信息 - FreeBuf.COM _ 关注黑客与极客.html
QQ空间中的几个漏洞结合利用 - 网站安全 - 红黑联盟.html
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 )
汉字名:艾提拉(艾龙), EMAIL:1466519819@qq.com
转载请注明来源: http://www.cnblogs.com/attilax/
Atiend
qqzoneQQ空间漏洞扫描器的设计attilax总结的更多相关文章
- Atitit 修改密码的功能流程设计 attilax总结
Atitit 修改密码的功能流程设计 attilax总结 1.1. 注意点1 1.2. 设计修改用户密码功能时把用户ID保存在哪里?1 1.3. Ui设计1 1.4. 功能设计源码1 1.5. Agt ...
- 6. Vulnerability scanners (漏洞扫描器 11个)
Nessus是最流行和最有能力的漏洞扫描程序之一,特别为UNIX系统. 它最初是免费的和开源的,但是他们在2005年关闭了源代码,并在2008年删除了免费的“注册Feed”版本.现在要每年花费2,19 ...
- 5. Web vulnerability scanners (网页漏洞扫描器 20个)
5. Web vulnerability scanners (网页漏洞扫描器 20个) Burp Suite是攻击Web应用程序的集成平台. 它包含各种工具,它们之间有许多接口,旨在方便和加快攻击应用 ...
- Atitit.数据库分区的设计 attilax 总结
Atitit.数据库分区的设计 attilax 总结 1. 分区就是分门别类的文件夹 (what)1 2. 分区的好处(y)1 3. 分区原则(要不要分区,何时分区)how2 4. 主要的分表类型有 ...
- DAST 黑盒漏洞扫描器 第六篇:运营篇(终)
0X01 前言 转载请标明来源:https://www.cnblogs.com/huim/ 当项目功能逐渐成熟,同时需要实现的是运营流程和指标体系建设.需要工程化的功能逐渐少了,剩下的主要工作转变成持 ...
- atitit。浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结
atitit.浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结 1. 缓存的一些机制 1 1.1. http 304 1 1.2. 浏览器刷新的处理机制 1 1.3. Expir ...
- [原创]AndroBugs_Framework Android漏洞扫描器介绍
[原创]AndroBugs_Framework Android漏洞扫描器介绍 1 AndroBugs_Framework Android 漏洞扫描器简介 一款高效的Android漏洞扫描器,可以帮助开 ...
- Atitit.字节数组转字符串 base64 base16 Quoted-printable 编码原理设计 attilax 总结
Atitit.字节数组转字符串 base64 base16 Quoted-printable 编码原理设计 attilax 总结 1. Base64编码, 1 2. Base64实现转换原理1 3. ...
- Atitit.ati dwr的原理and设计 attilax 总结 java php 版本
Atitit.ati dwr的原理and设计 attilax 总结 java php 版本 1. dwr的优点相对于ajax来说..1 2. DWR工作原理1 3. Dwr的架构2 4. 自定义dwr ...
随机推荐
- Redis第一篇(Redis单机版本安装及启动)
安装: 1 2 3 4 5 [root@M2_Redis1 ~]# yum install gcc gcc-c++ (安装依赖) [root@M2_Redis1 tools]# wget ht ...
- bootstrap框架 导航条组件使用
本文记载boot 导航条组件使用方法 导航条组件 导航条是在您的应用或网站中作为导航页头的响应式基础组件.它们在移动设备上可以折叠(并且可开可关),且在视口(viewport)宽度增加时逐渐变为水平展 ...
- ContentProvider要点复习
ContentProvider要点复习 ContentProvider作为四大组件之一,发挥着举足轻重的作用.与之相关联的另外两个类分别是ContentResolver和ContentObserver ...
- Hyper-v虚拟机文件VHDX与VHD的格式转换
今天遇到一个坑,我在本机(windows 10)上创建的CentOS虚拟机作为docker的宿主机,部署了gitlab等容器,准备迁移到服务器上的时候,发现始终无法导入,提示必须通过Hyper-v导出 ...
- case when then else end 用法
前段时间做项目过程中制作报表时编写的sql需要用到的case when then else end,因此将case的用法总结一下吧. CASE命令有两种语句格式:语法形式1:CASE expressi ...
- PHP, LDAPS and Apache
要PHP可以连接到用self-signed certificate的ldaps服务器,需要在/etc/ldap.conf中添加一行: TLS_REQCERT never 要PHP在Apache ...
- FMX下Edit只能输入数字
procedure TForm1.Edit1KeyDown(Sender: TObject; var Key: Word; var KeyChar: Char; Shift: TShiftState) ...
- 两份div之间出现空隙的原因及解决方法
在一个div加有< ul><li> 因为ul有个默认的margin和padding值 如果该div中没有设边框 ul默认的值的就会对上一个div有影响 解决方法:将ul的 ...
- I/O优化篇
转载:http://blog.csdn.net/gzh0222/article/details/9227393 很不错 1.系统学习 IO性能对于一个系统的影响是至关重要的.一个系统经过多项优化以后, ...
- ASP.NET连接远程Oracle数据库,提示试图加载格式不正确的程序
VS调试远程连接Oracle数据库,一直报错 由于本地计算机是64位的操作系统,而且也确定安装的Oracle客户端是64位的 ,但是一直提示这个错误. 试了很多方法,终于发现可能是 不能在VS中调试的 ...