这篇文章是对http://blog.innerht.ml/csp-2015/ 的翻译,因为最近在想对抗csp策略的一些绕过方式,而该文章给了我不少的tips,个人认为还是值得和大家分享一下。
2015年。事情已经发生了很多变化,我们目睹了ECMAScript的版本在2015升级到了第5版本。它使得前端技术具有快速的变化,也有像资源的完整性和客户端的保护机制。许多新的建议被提到网站安全的防范上。
CSP,安全机制,试图涵盖在客户端的广泛的攻击面,也升级到第二阶段。在这篇文章里,我想简单用一个我用在推特的bug绕过csp的例子,讨论了它的有效性和存在的不足。 继续阅读
对于最近发生的Xcode投毒,相信大家也是比较触目惊心,那么多中毒的app应用,普通用户怎么去面对此类问题并且做出防范?
今天有幸看到wulujia老师在微信号公布的一些个人经验,个人觉得很有实用价值,做起来也不麻烦,遂和大家分享一下:(原文来自:关于「毒苹果」,iPhone 用户只需要知道这些就够了,转载文字标红) 继续阅读
目前上架的是IOS版,Android版本应该也在酝酿中。
【乌云气象台】:你所关心的安全状况决定着你的安全气象,天晴下雨一目了然。全互联网紧急预警,你关心的企业漏洞一个不落及时送达,安全态势不含糊,实时状况全知道。
【我的厂商】:通过厂商搜索,关注你的所在厂商或合作厂商,乌云漏洞平台上 继续阅读
其实jiathis跨站不是第一次爆了,官方不知怎么的,一直好像不太重视,导致类似这样的安全漏洞屡次出现。
在写上一篇文章的时候,惊现弹窗了。追查才发现不知啥时候中了别人的rootkit。
排查了一段时间发现暂时没有可疑的异常情况之后,顺便把swf后门的清除办法分享一下,其实此类后门清除在乌云已经有人纰漏过。
案例:http://www.wooyun.org/bugs/wooyun-2010-051615 继续阅读
有一阵子没写blog了,来看博客的人不少,抽出了点时间,把最近常用的这么一个软件分享给大家。
名字叫:Mindjet MindManager。
简单说下这个软件是干什么用的,当你需要头脑风暴、总结学过的知识、会议记录、提高效率的时候,你就需要用到这么一款软件了,功能很完善,细致到了每一个点,可以先去官网下载试用,免费是一个月。再根据需要去选择是否购买。
支持导出的格式如下图: 继续阅读