最近各语言爆hash碰撞漏洞。包含php,ruby,python,java各个语言。Microsoft的.net也受影响。  hash碰撞原理:  Hash，简单来讲，是一种将任意长度的输入变换成固定长度的输出，固定长度的输出在”实际应用场景”下可以代表该输入。Hash函数通常被翻译成散列函数。Hash通常用来校验信息的一致性。  Hash函数的实现多种多样，在安全领域应用最为广泛的是SHA-x系列和MDx系列。Hash函数也划分为带密钥的Hash函数和不带密钥的Hash函数，通常所说的Hash函数是不带密钥的Hash函数。这里对Hash算法的实现原理不做更多的探讨。...       安全防护阅读全文

 因为经常看到网上有看到求助ARP病毒防范办法，其实ARP欺骗原理简单，利用的是ARP协议的一个“缺陷”，免费ARP来达到欺骗主机上面的网关的ARP表项。   　　其实免费ARP当时设计出来是为了2个作用的： 　　1，IP地址冲突检测 　　2，ARP条目自动更新，更新网关。   　　ARP欺骗就是利用这里面的第二条，攻击的主机发送一个ARP更新，条目的ip地址是网关，但是MAC地址一项，却不是网关，当其他主机接受到，会根据ARP协议的规则，越新的越可靠的原则，达到欺骗的目的。   　　虽然ARP不是tcp/ip协议簇中的一员，但是鉴于...       安全防护阅读全文

 Ping扫描(Ping Sweeping)]  [端口扫描(Port Scanning)]  [隐蔽扫描(Stealth Scanning)]  [UDP扫描(UDP Scanning)]  [操作系统识别(OS Fingerprinting)]  [Ident扫描(Ident Scanning)]  [选项(Options)]  [小结]  本文全方位地介绍Nmap的使用方法,可以让安全管理员了解在黑客眼中的站点.并通过使用它,安全管理员可以发现自己网站的漏洞,并逐步完善自己的系统.     Nmap是在免费软件基金会的GNU General Public License (GPL)下发布的,可从 www.insecure.org/nmap 站点上免费下载.下载格式可以是tgz格式的源码或RPM...       安全防护阅读全文

 现在WAP的网站也不少了吧。手机现在非常普及 　　不过手机网站也有漏洞 　　比如 不用XSS即可盗取sid 之后登录。 　　来做个比喻，比如广州电脑培训的学生在某个手机网站注册之后是 XXX.COM/?sid=123123123 　　当然猜是不可能了 　　这就要借助网站日志的来路记录 　　在这个论坛评个论，内容是http://www.safe121.com，发表出去，URL被转换成连接了 　　让人点击了，他的SID就被日志记录下来了(来路) 　　所以这就产生了跳过验证，以前QQ邮箱就有这个问题 　　举个例子,我写了个记录来路的php:                安全防护阅读全文

什么是跨站攻击？当webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试Web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。   解决方案: 禁用这些方式。   如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:   RewriteEngine on   RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)   RewriteRule .* – [F]   如果你使用的是Microsoft IIS, 使...       安全防护阅读全文