浅谈跨域web攻击

日期: 2011/04/10 分类: 技术杂文 标签: 添加回复

浅谈跨域WEB攻击:http://www.80sec.com/cross_domain_attack.html
EMail: rayh4c#80sec.com
Site: http://www.80sec.com
Date: 2011-04-07
From: http://www.80sec.com

0×00 前言

一直想说说跨域web攻击这一概念,先前积累了一些案例和经验,所以想写这么一篇文档让大家了解一下跨域web攻击,跨域web攻击指的是利用网站跨域安全设置缺陷进行的web攻击,有别于传统的攻击,跨域web攻击可以从网站某个不重要的业务直接攻击和影响核心业务。

传统的安全思维教会我们按资产、功能等需求划分核心业务,优先保护核心业务等,非核心业务的安全等级一般没有核心业务高,给我们错觉是非核心业务受到攻击的话,所造成损失不会很大,也不会影响到核心业务,所以让安全工作者了解跨域web攻击这一概念还是非常有意义的。

0×01 基于ajax跨域设置的跨域攻击

使用ajax技术让人头痛的地方就是如何跨域,受同源策略所限不同域名包括子域名在内是无法进

阅读全文

Web开发框架安全杂谈

日期: 2011/03/17 分类: 技术杂文 标签: , , 添加回复

转载请务必保留署名与链接:http://www.80sec.com/security-about-framework.html

EMail: wofeiwo#80sec.com
Site: http://www.80sec.com
Date: 2011-03-14
From: http://www.80sec.com/

[ 目录 ]
0×00 起
0×01 承
0×02 转
0×03 合

0×00起

最近框架漏洞频发,struts任意代码执行、Django csrf token防御绕过、Cakephp代码执行等等各大语言编程框架都相继暴出高危漏洞,这说明对于编程框架的安全问题已经逐渐走入安全工作者的视线。
Web开发框架就相当于web应用程序的操作系统,他决定了一个应用程序的模型结构和编程风格。框架上出了漏洞,就如同当年一个rpc远程EXP就走遍全世界windows的时代。

然而挖掘深层原因,从应用的模型和架构上考虑问题,其实这些框架漏洞都不只是一种偶然,而是一种必然。正是因为框架的模型结构,正因为他们的这种编程风格,才极大的增加了漏洞产生的可能性。

阅读全文

2010 Web前端技术趋势及总结

日期: 2010/12/15 分类: 技术杂文 标签: 添加回复

From:http://www.cnblogs.com/pandora/archive/2010/12/12/1904032.html

经过这段时间国内(百度,淘宝,新浪)及国外(Facebook,Youtube,Yahoo)各大公司的集中自曝,我们可以从中总结出2010 Web前端技术的一些趋势。总的来说,随着后端技术(存储,并发,分布式)的成熟,各大公司已经把重点从后端架构调整/建设转移至前端(TTI时间,快速发布,带宽利用率)。但作为明星技术的HTML5/CSS3,都未正式成为各公司的考虑重心,虽有所尝试,但在关键功能上,均未成为主力。这也W3C对当前HTML5/CSS3标准现状的表述:“不适宜用作生产环境”一致。
基本概念

Web前端技术的范围

阅读全文

开源Web安全扫描工具 – Watcher:Web security testing tool and passive vulnerability scanner

日期: 2010/04/05 分类: 技术杂文 标签: , , , 添加回复

消息来自web应用观察站,C#写的。

———————

Watcher version 1.3.0 released February 25, 2010

by Casaba Security, contact us through CodePlex, or email us through watcher at casabasecurity .com.

Frequently Asked Questions:
Answers to common questions are on the FAQ page.

Contents

Download
Background
Prior Work
Reviews
User Interface and Reporting
Installation
Configuration and Usage
Compliance with OWASP
Checks and how they work
Creating and Contributing Checks

阅读全文

web安全思维导图

日期: 2010/03/17 分类: 技术杂文 标签: 添加回复

来源:http://twitter.com/g1gg13

Web安全防护,何去何从?

日期: 2010/02/02 分类: 技术杂文 标签: , , 添加回复

从包子那边看到的,是h3c上的,原文在这里,虽说是广告,但是有基础的知识介绍的。

Web安全威胁形势严峻

随着国家互联网应急中心最新监测分析报告的发布,一个令人触目惊心的数据引发各方关注: “1月4日至10日,境内被篡改政府网站数量为178个,与前一周相比大幅增长409%,其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网 站,近年来各种Web网站攻击事件也是频频发生,网站SQL注入,网页被篡改、信息失窃、甚至被利用成传播木马的载体……Web安全威胁形势日益严 峻,Web安全防护该何去何从?

Web安全威胁的根源分析

Web网站的安全事件频频发生,究其根源,关键原因有二:一是Web网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。

阅读全文

Why Web-Application Security is Important

日期: 2010/01/09 分类: 技术杂文 标签: , 添加回复
Why Web-Application Security is Important

After the discussion about my last post and my omission of appsec, I wanted to make up for it not being in the list. Certainly, application security is important and as pointed out, I should have added it to the list of primary concerns for organizations.

By now, I hope everyone understands that attacks like SQL injection, cross-site scripting and the rest of the OWASP top 10 can have devastating effects. Often, when these vulnerabilities come into play, data loss soon follows.

阅读全文