TaoGOGO的技术博客,始于2007年,通过文字分享技术、记录生活

IE11曝出UXSS 0day

IE又爆出UXSS漏洞了,按照微软的步伐,这漏洞又要不知何时才能修复了。光说不练假把式,看了这个漏洞演示地址,你啥都懂了:http://www.deusen.co.uk/items/insider3show.3362009741042107/简要说明此IE漏洞使通过第三域名修改dailymail.co.uk的内容称为可能。使用方式:1. 确认弹窗弹出后,等待3秒后关闭。2. 点击“Go”。3. 7秒后,dailymail.co.uk的内容将被修改为“Hacked by Deusen” 攻击效果图:技术细节漏洞类型:UXSS影响:完全绕过SOP攻击效果:攻击者可以窃取任意域名的内容、将恶意代码注入任意域名测试环境:IE11 Win7 2015年1月29日英文原文:http://seclists.org/full
发布时间:2015-02-03 | 类别:技术 | 阅读:3698 | 评论:0 | 标签:ie11 uxss

Flash 0day漏洞(CVE-2015-0311)的详细分析

上周Flash爆了个大漏洞,相信不少玩家都收获颇丰,正好看到趋势已经把这个漏洞的成因分析出来了。正好闲来无事翻译后发到freebuf了,在这里也分享下:我们分析截获的样本后发现,实际Flash文件被嵌入到一个经过高强度混淆的恶意.SWF文件内。剥离混淆代码后,我们全面的分析了漏洞并发现了Exp的运行方式。在介绍细节之前,分享一下我们的“神秘”发现:这些代码片段竟与CVE-2014-8439的漏洞利用代码颇有几分相似之处。这两个漏洞利用代码极有可能出自同一黑客之手。漏洞根源分析发现这是一个UAF类型的漏洞。这种情况下,domainMemory引用的内存会被释放掉,攻击者能够读写内存甚至执行任意代码。漏洞触发的步骤如下:创建一个ByteArray实例并写入大量数据,然后压缩实例内容。图 1. ByteArray 创
发布时间:2015-01-30 | 类别:技术 | 阅读:3953 | 评论:0 | 标签:flash漏洞

github中国区Top1000用户的博客列表

抓了github中国区top1000用户的信息,其中855个有博客,放在一个自用的小导航里面了:http://go.taocms.org/category-20.htm数据显示,写博客的,技术都还可以~~写代码的工程师其实和诗人、作家没啥区别,都是用爪子来创造美好的生活。
发布时间:2014-12-19 | 类别:技术 | 阅读:4314 | 评论:1 | 标签:github

一个简单的使用hashmap的java程序

多年未摸java,为了给hive写udf操刀写了一把,哈哈~import java.util.*;public class test { private static final String py2zhStr = "All,全部|BD,孟加拉|Unknown,Unknown"; private String result = ""; public static void main(String[] args) { System.out.println("Hello, it's: "); System.out.println(new Date()); test taotest=new test(); System.out.println(tao
发布时间:2014-11-27 | 类别:技术 | 阅读:3787 | 评论:0 | 标签:java hashmap

《了解WEB安全》PPT分享

之前给四角猫的同学做了下WEB安全技术培训,这是其中的一个童叟皆宜的入门PPT,给大家分享下。㊦ 点击下载PPT ㊦
发布时间:2014-10-21 | 类别:技术 | 阅读:3646 | 评论:0 | 标签:

代理IP识别技术汇总

1、通过header、端口反扫来识别,见proxyserverprivacy的说明:As you already know Basis proxy detector analyze typical proxy variables that your browser send to the web server, among other things, VIA, PROXY_CONNECTION and X_FOWARDED_FOR and can succesfuly determine of you are behind transparent proxy or anonymous proxy. Elite proxy (Level 1 and Level 2 proxy defined by ProxyJu
发布时间:2014-10-17 | 类别:技术 | 阅读:3969 | 评论:0 | 标签:代理 proxy

2014读书记录

今年大部分阅读是通过手机GReader来完成的,能了解最新的技术、社区咨询,不过看完就忘沉淀不多,年末咬咬牙卸掉了。以后准备沉下心来多读读书,沉淀下自己。读书状态如下:读完:《南传(资本运作连锁营销)自助反洗脑流程》《Rich Dad Poor Dad》《众病之王·癌症传》《大型网站技术架构》读中:《七周七语言·理解多重编程范式》《机器学习》
发布时间:2014-07-09 | 类别:成长 | 阅读:3942 | 评论:0 | 标签:读书

ubuntu下的码农常用工具

最近MBP给了女友,重新回到ubuntu的怀抱。下面是个人在ubuntu下常用的软件:IDE:PycharmPHPStormZend Studio文本编辑器:VIMSublime Text版本管理:svnRapidSVNgitgit ui文件对比:Meld DiffVimdiff数据库:pgadmin3TORa浏览器:chrominumfirefoxWEB安全:burp suitesqlmapnmapfirefox hackbarmetasploit学习:calibre其他:virtualenv先写这么多,随时补充…
发布时间:2014-05-10 | 类别:技术 | 阅读:38512 | 评论:4 | 标签:ubuntu ubuntu常用工具 ubuntu gui工具

Centos5.8安装R语言和onLoad failed in loadNamespace() for 'tcltk'解决办法

最近在一台Centos服务器上安装R,遇到几个问题,记录下来,希望可以帮助到遇到相同问题的小伙伴。下载安装包后使用默认配置安装,执行./configure,报错:configure: error: --with-x=yes (default) and X11 headers/libs are not available解决方法:内部centos镜像有问题,所以改用官方yum源(baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/)yum install libX11-devel.x86_64yum install libXt-devel  安装sqldf包时报错:Error : .onLoad failed in loadN
发布时间:2014-02-26 | 类别:技术 | 阅读:25075 | 评论:1 | 标签:centos r

2013年总结

2013年学习方面的关键词是语言+安全+英语,生活上的关键词是定亲。学习方面:读书:今年的书读的很少,只是读完了《编程珠矶》、《开发高质量PHP框架与应用的实际案例解析》、《PHP核心技术与最佳实践》,有些书还没读完就没脸写出来了。shell:我负责管理几台服务器,使用shell开发环境部署、监控、状态调整、系统发布回滚、日志处理等脚本,简单的日志处理和系统管理用shell来做简单高效。python:重新捡起python,将它真正的用到实际工作中去了,开发一系列反盗号相关的日志处理、数据分析的系统,使用django开发了几个web项目,熟悉了许多python、django相关的工具。另外还在学习webpy的过程中写了一个开源的项目:webpyCMS(https://github.com/taogogo/webp
发布时间:2014-02-22 | 类别:成长 | 阅读:16329 | 评论:0 | 标签:年终总结 成长 2013

公告

҉百度内部推荐,高级研发/PM(需2年以上工作经验)。
有意者微博私信联系~

微博言语

标签云

文章分类