qqzoneQQ空间漏洞扫描器的设计attilax总结
qqzoneQQ空间漏洞扫描器的设计attilax总结
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm1
1.1. 获取对方qq(第三方,以及其他机制)
1.2. QQ空间的html流程
http://user.qzone.qq.com/314087978
http://b198.photo.store.qq.com/psb?/V12tKdAY47FMFv/m0Xx8t61vKpjOA38laRrDIOsa3aJ86Vn1QxvkbGXf4Y!/c/dMYAAAAAAAAA&n=1&rf=fhpinshouxia
1.3. 判断是否有权限
1.4. 2015年度Web服务器安全漏洞 TOP5
Line 18: 一、JAVA反序列化系列漏洞
Line 44: 二、Redis 未授权访问漏洞
Line 56: 三、Juniper Networks(瞻博网络)远程管理访问后门
Line 64: 四、IIS系列Http.sys处理Range整数溢出漏洞
Line 75: 五、BIND9 TKEY 拒绝服务漏洞
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm
1、2014年CVE漏洞分布
2、CVE漏洞总数趋势
1、Heartbleed漏洞
2、Shellshock(BASH)漏洞
3、SSL 3.0 POODLE漏洞
4、Microsoft KerberOS权限提升漏洞:
5、BadUSB
6、IE通杀代码执行漏洞
7、Microsoft Windows全版本提权漏洞
8、NTP远程代码执行以及拒绝服务攻击漏洞
CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296
网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
9、Adobe堆缓冲区溢出漏洞
10、Microsoft .NET Framework远程权限提升漏洞
1.6. OWASP十大安全漏洞分别是:
1. 注入,包括SQL、操作系统和LDAP注入。
2. 有问题的鉴别与会话管理。
3. 跨站脚本攻击(XSS)。
4. 不安全的直接对象引用。
5. 安全配置错误。
6. 暴露敏感数据。
7. 函数级访问控制缺失。
8. 跨站请求伪造(CSRF)。
9. 使用存在已知漏洞的组件。
10. 未验证的重定向。
OWASP发布2013年十大Web应用安全漏洞 - 极客头条 - CSDN.NET.html
参考资料
实战腾讯QQ ClientKey漏洞【勿干坏事喔】.html
技术揭秘“QQ空间”自动转发不良信息 - FreeBuf.COM _ 关注黑客与极客.html
QQ空间中的几个漏洞结合利用 - 网站安全 - 红黑联盟.html
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 )
汉字名:艾提拉(艾龙), EMAIL:1466519819@qq.com
转载请注明来源: http://www.cnblogs.com/attilax/
Atiend
qqzoneQQ空间漏洞扫描器的设计attilax总结的更多相关文章
- Atitit 修改密码的功能流程设计 attilax总结
Atitit 修改密码的功能流程设计 attilax总结 1.1. 注意点1 1.2. 设计修改用户密码功能时把用户ID保存在哪里?1 1.3. Ui设计1 1.4. 功能设计源码1 1.5. Agt ...
- 6. Vulnerability scanners (漏洞扫描器 11个)
Nessus是最流行和最有能力的漏洞扫描程序之一,特别为UNIX系统. 它最初是免费的和开源的,但是他们在2005年关闭了源代码,并在2008年删除了免费的“注册Feed”版本.现在要每年花费2,19 ...
- 5. Web vulnerability scanners (网页漏洞扫描器 20个)
5. Web vulnerability scanners (网页漏洞扫描器 20个) Burp Suite是攻击Web应用程序的集成平台. 它包含各种工具,它们之间有许多接口,旨在方便和加快攻击应用 ...
- Atitit.数据库分区的设计 attilax 总结
Atitit.数据库分区的设计 attilax 总结 1. 分区就是分门别类的文件夹 (what)1 2. 分区的好处(y)1 3. 分区原则(要不要分区,何时分区)how2 4. 主要的分表类型有 ...
- DAST 黑盒漏洞扫描器 第六篇:运营篇(终)
0X01 前言 转载请标明来源:https://www.cnblogs.com/huim/ 当项目功能逐渐成熟,同时需要实现的是运营流程和指标体系建设.需要工程化的功能逐渐少了,剩下的主要工作转变成持 ...
- atitit。浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结
atitit.浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结 1. 缓存的一些机制 1 1.1. http 304 1 1.2. 浏览器刷新的处理机制 1 1.3. Expir ...
- [原创]AndroBugs_Framework Android漏洞扫描器介绍
[原创]AndroBugs_Framework Android漏洞扫描器介绍 1 AndroBugs_Framework Android 漏洞扫描器简介 一款高效的Android漏洞扫描器,可以帮助开 ...
- Atitit.字节数组转字符串 base64 base16 Quoted-printable 编码原理设计 attilax 总结
Atitit.字节数组转字符串 base64 base16 Quoted-printable 编码原理设计 attilax 总结 1. Base64编码, 1 2. Base64实现转换原理1 3. ...
- Atitit.ati dwr的原理and设计 attilax 总结 java php 版本
Atitit.ati dwr的原理and设计 attilax 总结 java php 版本 1. dwr的优点相对于ajax来说..1 2. DWR工作原理1 3. Dwr的架构2 4. 自定义dwr ...
随机推荐
- 51nod 1138 连续整数的和(数学公式)
1138 连续整数的和 #include <iostream> #include <cmath> #include <cstdio> using namespace ...
- Ansible常用模块
http://liumissyou.blog.51cto.com/4828343/1749121
- JS-firstChild,firstElementChild,lastChild,firstElementChild,nextSibling,nextElementSibling
<body> <ul id="ul1"> <li>11111</li> <li>22222</li> < ...
- 浅谈struts2之chain
转自:http://blog.csdn.net/randomnet/article/details/8656759 前一段时间,有关chain的机制着实困绕了许久.尽管网上有许多关于chain的解说, ...
- Linux:-bash: ***: command not found,系统很多命令都用不了
系统:64位RHEL6 突然之间linux很多命令都用不了,均提示没有此命令. 这应该是系统环境变量出现了问题导致的. 出现这种可能性的原因有很多,大多数是因为,安装了新的软件要配置环境变量,但是没有 ...
- 8.4.4 Picasso
Picasso 收到加载及显示图片的任务,创建 Request 并将它交给 Dispatcher,Dispatcher 分发任务到具体 RequestHandler,任务通过 MemoryCache ...
- UDP发送中文
procedure TForm1.SpeedButton1Click(Sender: TObject); begin udp.Send('localhost', 1234, 'abc123'); // ...
- Objective-C 关联
在项目开发中,经常会使用到关联,就是将两个实例对象绑定,使得其中一个实例对象成为另一个实例对象的一部分.关联特性在mac os 10.6 及ios 3.1以上才可以使用. 关联的使用是基于关键字来实现 ...
- glibc2.14 install from centos
安装glibc2.14 Tar xf glibc-2.14.tar.gz Cd glibc-2.14 Mkdir build Cd build ../configure –prefix=/opt/gl ...
- [Linux-shell] AWK
Go to the first, previous, next, last section, table of contents. Printing Output One of the most co ...