标头 - 第 3 | CN-SEC 中文网

安全文章

浏览器驱动的异步攻击：HTTP 请求走私（下）

浏览器驱动的异步攻击：HTTP 请求走私（上）示例探究通过自动检测 CSD 漏洞，我确定了一系列真正的易受攻击的网站。在这一节中，我将研究其中四个更有趣的方法，并看看这种方法是如何发挥作用的。Akam...

10月22日65 views评论

阅读全文

安全百科

跨域资源共享（CORS）-攻击示例（一）

在本节中，将解释什么是跨域资源共享（CORS），描述一些基于跨域资源共享攻击的常见示例，并讨论如何防范这些攻击。由CORS配置问题引起的漏洞许多现代网站使用CORS允许来自子域和受信任的第三方的访问，...

10月18日92 views评论

阅读全文

安全文章

五种不寻常的身份验证绕过技术

身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞，也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法，保障组织的网络安全。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改...

10月13日142 views评论

阅读全文

安全闲碎

可以使用VLAN 0堆栈和/或 802.3 标头绕过 L2 网络安全控制

卡内基梅隆大学官网报道了“可以使用 VLAN 0 堆栈和/或 802.3 标头绕过 L2 网络安全控制”，思科、瞻博网络等厂家部分产品受影响。概述各种设备（例如交换机、路由器和操作系统）提供的第 2 ...

10月05日32 views评论

阅读全文

渗透测试如何利用403页面

0x01 前言做渗透时经常会碰到扫到的资产403的情况，特别是资产微乎其微的情况下，面试有时也会问到，这里做个总结！0x02 利用姿势1.端口利用扫描主机端口，找其它开放web服务的端口，访问其端口，...

07月27日安全文章128 views评论

阅读全文

安全闲碎

关于HTTP请求走私和Http响应拆分这件事

点击上方蓝字“Ots安全”一起玩耍第一部分：Http响应拆分在 HTTP 标头中包含未经验证的数据允许攻击者指定浏览器呈现的整个 HTTP 响应。当 HTTP 请求包含意外的 CR（回车，也由 %0d...

03月27日127 views评论

阅读全文

安全漏洞

JSON Web Token 攻击和漏洞

点击上方蓝字“Ots安全”一起玩耍JSON Web 令牌 (JWT) 提供了一种使用 JSON 对象安全地交换数据的方法。它们通常用于授权，因为它们可以被签名、验证并因此被信任——但只有在正确实施的情...

03月27日510 views评论

阅读全文

安全工具

HTTP标头的IP源限制绕过工具

0x01 ipsource介绍此Python脚本可用于绕过使用HTTP标头的IP源限制。0x02 ipsource特征17个HTTP标头。多线程。JSON导出与 --json outputf...

02月07日81 views评论

阅读全文

安全文章

CRLF (%0D%0A) Injection

什么是CRLF？当浏览器向Web服务器发送请求时，Web服务器用包含HTTP响应标头和实际网站内容（即响应正文）的响应进行答复。HTTP标头和HTML响应（网站内容）由特殊字符的特定组合分隔，即回车符...

11月03日453 views评论

阅读全文

逆向工程

ELF恶意软件的静态分析原理和方法（下）

上一篇文章，我们介绍了ELF恶意软件的威胁概况和背景信息，本文，我们会具体用一个样本进行静态分析。ELF标头ELF标头包含有关二进制文件的常规数据，例如二进制文件的入口点和程序标头表的位置。这些信息在...

09月04日278 views评论

阅读全文

浏览器驱动的异步攻击：HTTP 请求走私（下）

跨域资源共享（CORS）-攻击示例（一）

五种不寻常的身份验证绕过技术

可以使用VLAN 0堆栈和/或 802.3 标头绕过 L2 网络安全控制

渗透测试如何利用403页面

JSON Web Token 攻击和漏洞

HTTP标头的IP源限制绕过工具

CRLF (%0D%0A) Injection

ELF恶意软件的静态分析原理和方法（下）

在线咨询

微信