qqzoneQQ空间漏洞扫描器的设计attilax总结
qqzoneQQ空间漏洞扫描器的设计attilax总结
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm1
1.1. 获取对方qq(第三方,以及其他机制)
1.2. QQ空间的html流程
http://user.qzone.qq.com/314087978
http://b198.photo.store.qq.com/psb?/V12tKdAY47FMFv/m0Xx8t61vKpjOA38laRrDIOsa3aJ86Vn1QxvkbGXf4Y!/c/dMYAAAAAAAAA&n=1&rf=fhpinshouxia
1.3. 判断是否有权限
1.4. 2015年度Web服务器安全漏洞 TOP5
Line 18: 一、JAVA反序列化系列漏洞
Line 44: 二、Redis 未授权访问漏洞
Line 56: 三、Juniper Networks(瞻博网络)远程管理访问后门
Line 64: 四、IIS系列Http.sys处理Range整数溢出漏洞
Line 75: 五、BIND9 TKEY 拒绝服务漏洞
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm
1、2014年CVE漏洞分布
2、CVE漏洞总数趋势
1、Heartbleed漏洞
2、Shellshock(BASH)漏洞
3、SSL 3.0 POODLE漏洞
4、Microsoft KerberOS权限提升漏洞:
5、BadUSB
6、IE通杀代码执行漏洞
7、Microsoft Windows全版本提权漏洞
8、NTP远程代码执行以及拒绝服务攻击漏洞
CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296
网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
9、Adobe堆缓冲区溢出漏洞
10、Microsoft .NET Framework远程权限提升漏洞
1.6. OWASP十大安全漏洞分别是:
1. 注入,包括SQL、操作系统和LDAP注入。
2. 有问题的鉴别与会话管理。
3. 跨站脚本攻击(XSS)。
4. 不安全的直接对象引用。
5. 安全配置错误。
6. 暴露敏感数据。
7. 函数级访问控制缺失。
8. 跨站请求伪造(CSRF)。
9. 使用存在已知漏洞的组件。
10. 未验证的重定向。
OWASP发布2013年十大Web应用安全漏洞 - 极客头条 - CSDN.NET.html
参考资料
实战腾讯QQ ClientKey漏洞【勿干坏事喔】.html
技术揭秘“QQ空间”自动转发不良信息 - FreeBuf.COM _ 关注黑客与极客.html
QQ空间中的几个漏洞结合利用 - 网站安全 - 红黑联盟.html
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 )
汉字名:艾提拉(艾龙), EMAIL:1466519819@qq.com
转载请注明来源: http://www.cnblogs.com/attilax/
Atiend
qqzoneQQ空间漏洞扫描器的设计attilax总结的更多相关文章
- Atitit 修改密码的功能流程设计 attilax总结
Atitit 修改密码的功能流程设计 attilax总结 1.1. 注意点1 1.2. 设计修改用户密码功能时把用户ID保存在哪里?1 1.3. Ui设计1 1.4. 功能设计源码1 1.5. Agt ...
- 6. Vulnerability scanners (漏洞扫描器 11个)
Nessus是最流行和最有能力的漏洞扫描程序之一,特别为UNIX系统. 它最初是免费的和开源的,但是他们在2005年关闭了源代码,并在2008年删除了免费的“注册Feed”版本.现在要每年花费2,19 ...
- 5. Web vulnerability scanners (网页漏洞扫描器 20个)
5. Web vulnerability scanners (网页漏洞扫描器 20个) Burp Suite是攻击Web应用程序的集成平台. 它包含各种工具,它们之间有许多接口,旨在方便和加快攻击应用 ...
- Atitit.数据库分区的设计 attilax 总结
Atitit.数据库分区的设计 attilax 总结 1. 分区就是分门别类的文件夹 (what)1 2. 分区的好处(y)1 3. 分区原则(要不要分区,何时分区)how2 4. 主要的分表类型有 ...
- DAST 黑盒漏洞扫描器 第六篇:运营篇(终)
0X01 前言 转载请标明来源:https://www.cnblogs.com/huim/ 当项目功能逐渐成熟,同时需要实现的是运营流程和指标体系建设.需要工程化的功能逐渐少了,剩下的主要工作转变成持 ...
- atitit。浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结
atitit.浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结 1. 缓存的一些机制 1 1.1. http 304 1 1.2. 浏览器刷新的处理机制 1 1.3. Expir ...
- [原创]AndroBugs_Framework Android漏洞扫描器介绍
[原创]AndroBugs_Framework Android漏洞扫描器介绍 1 AndroBugs_Framework Android 漏洞扫描器简介 一款高效的Android漏洞扫描器,可以帮助开 ...
- Atitit.字节数组转字符串 base64 base16 Quoted-printable 编码原理设计 attilax 总结
Atitit.字节数组转字符串 base64 base16 Quoted-printable 编码原理设计 attilax 总结 1. Base64编码, 1 2. Base64实现转换原理1 3. ...
- Atitit.ati dwr的原理and设计 attilax 总结 java php 版本
Atitit.ati dwr的原理and设计 attilax 总结 java php 版本 1. dwr的优点相对于ajax来说..1 2. DWR工作原理1 3. Dwr的架构2 4. 自定义dwr ...
随机推荐
- HDU 1575
Tr A Time Limit: 1000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others)Total Submis ...
- 关于Scrum团队的理解
<阅读完<构建之法>第6~7章>之读后感 阅读完<构建之法>第6~7章之后,不仅感觉获益匪浅,也甚感团队合作.分配.工作的不易与一个团队运营一个项目并推广的艰辛与 ...
- Maven使用第三方jar文件的两种方法
转于http://blog.csdn.net/youhaodeyi/article/details/1729116 主要用于回查与标记 在Maven中,使用第三方库一般是通过pom.xml文件中定义的 ...
- css3简单的图片轮播
<style> @-webkit-keyframes move{ %{left:0px;} %{left:-500px;} } #wrap{ width:500px; height:100 ...
- (转)如何为你的Viewcontroller瘦身
View controllers are often the biggest files in iOS projects, and they often contain way more code t ...
- Core Audio(二)
用户模式音频组件 在windows vista中,core audio apis充当用户模式音频子系统的基础,core audio apis作为用户模式系统组件的一个thin layer,它用来将用户 ...
- 在VS2010配置MPI--win7下64位系统
配置MPI经历了不少波折,把这些经历记录下来,告诫后来人. 1.版本要对 下载MPI,去官方网站 http://www.mpich.org/downloads/ 选择x86-64版本 2.步骤要对 1 ...
- [Cocoa设计模式] 动态创建
Cocoa利用底层Objective-C运行时的很多特性,包括能够创建在应用程序编译时不存在的类的实例并在运行时动态加载和链接新类.诸如Ruby, Perl, Python之类的脚本语言就利用这种技术 ...
- 初入liunx的一些基本的知识
本系列的博客来自于:http://www.92csz.com/study/linux/ 在此,感谢原作者提供的入门知识 这个系列的博客的目的在于将比较常用的liunx命令从作者的文章中摘录下来,供自己 ...
- Microsoft .NET Native Developer Preview 内部初探(1)
Microsoft .NET Native Developer Preview 内部初探(1) MS 前段时间发布了.NET Native Developer Preview,被广大人员赋予“C++的 ...