qqzoneQQ空间漏洞扫描器的设计attilax总结
2016-10-18 23:52
218 查看
qqzoneQQ空间漏洞扫描器的设计attilax总结
1.1.
获取对方qq(第三方,以及其他机制)1
1.2.
QQ空间的html流程1
1.3.
判断是否有权限1
1.4. 2015年度Web服务器安全漏洞
TOP51
1.5.
2014年互联网十大安全漏洞及思考_安全_比特网.htm1
1.6.
OWASP十大安全漏洞分别是: 2
http://analy.qzone.qq.com/cgi-bin/apptrace?uin=312153274&action=100&platform=1&appid_via=QZ.REJECTEDVISITOR.WEBGAME
http://b198.photo.store.qq.com/psb?/V12tKdAY47FMFv/m0Xx8t61vKpjOA38laRrDIOsa3aJ86Vn1QxvkbGXf4Y!/c/dMYAAAAAAAAA&n=1&rf=fhpinshouxia
Line 18:
一、JAVA反序列化系列漏洞
Line 44:
二、Redis 未授权访问漏洞
Line 56:
三、Juniper Networks(瞻博网络)远程管理访问后门
Line 64:
四、IIS系列Http.sys处理Range整数溢出漏洞
Line 75:
五、BIND9 TKEY 拒绝服务漏洞
2、CVE漏洞总数趋势
1、Heartbleed漏洞
2、Shellshock(BASH)漏洞
3、SSL 3.0 POODLE漏洞
4、Microsoft KerberOS权限提升漏洞:
5、BadUSB
6、IE通杀代码执行漏洞
7、Microsoft Windows全版本提权漏洞
8、NTP远程代码执行以及拒绝服务攻击漏洞
CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296
网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
9、Adobe堆缓冲区溢出漏洞
10、Microsoft .NET Framework远程权限提升漏洞
1.6. OWASP十大安全漏洞分别是:
1. 注入,包括SQL、操作系统和LDAP注入。
2. 有问题的鉴别与会话管理。
3. 跨站脚本攻击(XSS)。
4. 不安全的直接对象引用。
5. 安全配置错误。
6. 暴露敏感数据。
7. 函数级访问控制缺失。
8. 跨站请求伪造(CSRF)。
9. 使用存在已知漏洞的组件。
10. 未验证的重定向。
OWASP发布2013年十大Web应用安全漏洞 - 极客头条 - CSDN.NET.html
参考资料
实战腾讯QQ ClientKey漏洞【勿干坏事喔】.html
技术揭秘“QQ空间”自动转发不良信息 - FreeBuf.COM _ 关注黑客与极客.html
QQ空间中的几个漏洞结合利用 - 网站安全 - 红黑联盟.html
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 )
汉字名:艾提拉(艾龙), EMAIL:1466519819@qq.com
转载请注明来源: http://blog.csdn.net/attilax
Atiend
1.1.
获取对方qq(第三方,以及其他机制)1
1.2.
QQ空间的html流程1
1.3.
判断是否有权限1
1.4. 2015年度Web服务器安全漏洞
TOP51
1.5.
2014年互联网十大安全漏洞及思考_安全_比特网.htm1
1.6.
OWASP十大安全漏洞分别是: 2
1.1. 获取对方qq(第三方,以及其他机制)
1.2. QQ空间的html流程
http://user.qzone.qq.com/314087978http://analy.qzone.qq.com/cgi-bin/apptrace?uin=312153274&action=100&platform=1&appid_via=QZ.REJECTEDVISITOR.WEBGAME
http://b198.photo.store.qq.com/psb?/V12tKdAY47FMFv/m0Xx8t61vKpjOA38laRrDIOsa3aJ86Vn1QxvkbGXf4Y!/c/dMYAAAAAAAAA&n=1&rf=fhpinshouxia
1.3. 判断是否有权限
1.4. 2015年度Web服务器安全漏洞 TOP5
Line 18:
一、JAVA反序列化系列漏洞
Line 44:
二、Redis 未授权访问漏洞
Line 56:
三、Juniper Networks(瞻博网络)远程管理访问后门
Line 64:
四、IIS系列Http.sys处理Range整数溢出漏洞
Line 75:
五、BIND9 TKEY 拒绝服务漏洞
1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm
1、2014年CVE漏洞分布2、CVE漏洞总数趋势
1、Heartbleed漏洞
2、Shellshock(BASH)漏洞
3、SSL 3.0 POODLE漏洞
4、Microsoft KerberOS权限提升漏洞:
5、BadUSB
6、IE通杀代码执行漏洞
7、Microsoft Windows全版本提权漏洞
8、NTP远程代码执行以及拒绝服务攻击漏洞
CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296
网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
9、Adobe堆缓冲区溢出漏洞
10、Microsoft .NET Framework远程权限提升漏洞
1.6. OWASP十大安全漏洞分别是:
1. 注入,包括SQL、操作系统和LDAP注入。2. 有问题的鉴别与会话管理。
3. 跨站脚本攻击(XSS)。
4. 不安全的直接对象引用。
5. 安全配置错误。
6. 暴露敏感数据。
7. 函数级访问控制缺失。
8. 跨站请求伪造(CSRF)。
9. 使用存在已知漏洞的组件。
10. 未验证的重定向。
OWASP发布2013年十大Web应用安全漏洞 - 极客头条 - CSDN.NET.html
参考资料
实战腾讯QQ ClientKey漏洞【勿干坏事喔】.html
技术揭秘“QQ空间”自动转发不良信息 - FreeBuf.COM _ 关注黑客与极客.html
QQ空间中的几个漏洞结合利用 - 网站安全 - 红黑联盟.html
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 )
汉字名:艾提拉(艾龙), EMAIL:1466519819@qq.com
转载请注明来源: http://blog.csdn.net/attilax
Atiend
相关文章推荐
- qqzoneQQ空间漏洞扫描器的设计attilax总结
- Atiitt 提升复用性之道 项目成本之道 Atitit 代码复用的理解attilax总结 1. 复用分类 1 1.1. 类库侧重代码重用,框架侧重设计重用 2 2. 文档与索引体系 2 3
- atitit。浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结
- atitit。浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结
- Atitit 词法分析器的设计最佳实践说明attilax总结
- atitit。浏览器缓存机制 and 微信浏览器防止缓存的设计 attilax 总结
- Atitit 研发管理之道 attilax总结 艾龙 著 研发管理 1 简介 1 基本理念 2 基本原则 2 内容 3 团队建设 4 流程设计 4 成本管理 4 项目管理 4 绩效管理 4 风险管理
- Atitit 词法分析器的设计最佳实践说明attilax总结
- Atitit 插件机制原理与设计微内核 c# java 的实现attilax总结
- Atitit.二维码功能的设计实践 attilax 总结
- Atitit 插件机制原理与设计微内核 c# java 的实现attilax总结
- Atitit.ati dwr的原理and设计 attilax 总结 java php 版本
- Atitit.二维码功能的设计实践 attilax 总结
- Atitit 插件机制原理与设计微内核 c# java 的实现attilax总结
- Atitit 数据库与存储引擎设计与实现 attilax总结 1.1. 数据库的实现有很多种, 遵循一些理论规范,如 Fix Rules、Write-Ahead Log、Force-log-at-
- Atitit.二维码功能的设计实践 attilax 总结
- Atitit.java c#这类编程语言的设计失败点attilax总结
- 腾讯CDC:QQ HD 3.0设计总结
- Atitit 订单处理原理与功能设计attilax总结
- atitit.html编辑器的设计要点与框架选型 attilax总结