TaoGOGO的技术博客,始于2007年,通过文字分享技术、记录生活

WEB应用安全测试备忘单

介绍这个备忘单是一个对WEB应用程序执行黑盒测试的任务清单。目的这个清单可以当成有经验的测试老手的备忘录、结合OWASP测试指南一起使用。清单将与测试指南v4一起更新(https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents)。我们希望把这个备忘单做成XML文档,这样就可以使用脚本来将其转换成各种格式,如pdf、Media Wki、HTML等,这样同样使得将文档转换为某种打印格式变得容易。感谢所有给予反馈和帮助的人,如果你有任何意见或建议,欢迎提出并加入到编辑队伍中来。检查列表收集信息手动访问站点使用爬虫来抓取(手工)无法访问或隐藏的内容检查泄露信息的文件,如robots.txt, sitemap.xml, .DS_Stor
发布时间:2015-10-17 | 类别: | 阅读:395689 | 评论:6 | 标签:cheatsheet web安全

SSO统一登录实现流程图

准备做个SSO统一登录,画了个流程图,不过最终因为复杂度的原因,没有使用这个方案。这个方案非常适合多域名或者对安全性要求很高的场景。
发布时间:2015-07-10 | 类别: | 阅读:393109 | 评论:3 | 标签:sso

IE11曝出UXSS 0day

IE又爆出UXSS漏洞了,按照微软的步伐,这漏洞又要不知何时才能修复了。光说不练假把式,看了这个漏洞演示地址,你啥都懂了:http://www.deusen.co.uk/items/insider3show.3362009741042107/简要说明此IE漏洞使通过第三域名修改dailymail.co.uk的内容称为可能。使用方式:1. 确认弹窗弹出后,等待3秒后关闭。2. 点击“Go”。3. 7秒后,dailymail.co.uk的内容将被修改为“Hacked by Deusen” 攻击效果图:技术细节漏洞类型:UXSS影响:完全绕过SOP攻击效果:攻击者可以窃取任意域名的内容、将恶意代码注入任意域名测试环境:IE11 Win7 2015年1月29日英文原文:http://seclists.org/full
发布时间:2015-02-03 | 类别: | 阅读:324734 | 评论:2 | 标签:ie11 uxss

Flash 0day漏洞(CVE-2015-0311)的详细分析

上周Flash爆了个大漏洞,相信不少玩家都收获颇丰,正好看到趋势已经把这个漏洞的成因分析出来了。正好闲来无事翻译后发到freebuf了,在这里也分享下:我们分析截获的样本后发现,实际Flash文件被嵌入到一个经过高强度混淆的恶意.SWF文件内。剥离混淆代码后,我们全面的分析了漏洞并发现了Exp的运行方式。在介绍细节之前,分享一下我们的“神秘”发现:这些代码片段竟与CVE-2014-8439的漏洞利用代码颇有几分相似之处。这两个漏洞利用代码极有可能出自同一黑客之手。漏洞根源分析发现这是一个UAF类型的漏洞。这种情况下,domainMemory引用的内存会被释放掉,攻击者能够读写内存甚至执行任意代码。漏洞触发的步骤如下:创建一个ByteArray实例并写入大量数据,然后压缩实例内容。图 1. ByteArray 创
发布时间:2015-01-30 | 类别: | 阅读:322080 | 评论:0 | 标签:flash漏洞

github中国区Top1000用户的博客列表

抓了github中国区top1000用户的信息,其中855个有博客,放在一个自用的小导航里面了:http://go.taocms.org/category-20.htm数据显示,写博客的,技术都还可以~~写代码的工程师其实和诗人、作家没啥区别,都是用爪子来创造美好的生活。
发布时间:2014-12-19 | 类别: | 阅读:340389 | 评论:1 | 标签:github

一个简单的使用hashmap的java程序

多年未摸java,为了给hive写udf操刀写了一把,哈哈~import java.util.*;public class test { private static final String py2zhStr = "All,全部|BD,孟加拉|Unknown,Unknown"; private String result = ""; public static void main(String[] args) { System.out.println("Hello, it's: "); System.out.println(new Date()); test taotest=new test(); System.out.println(tao
发布时间:2014-11-27 | 类别: | 阅读:302382 | 评论:0 | 标签:java hashmap

《了解WEB安全》PPT分享

之前给四脚猫的同学做了下WEB安全技术培训,这是其中的一个童叟皆宜的入门PPT,给大家分享下。㊦ 点击下载PPT ㊦
发布时间:2014-10-21 | 类别: | 阅读:309475 | 评论:2 | 标签:

代理IP识别技术汇总

1、通过header、端口反扫来识别,见proxyserverprivacy的说明:As you already know Basis proxy detector analyze typical proxy variables that your browser send to the web server, among other things, VIA, PROXY_CONNECTION and X_FOWARDED_FOR and can succesfuly determine of you are behind transparent proxy or anonymous proxy. Elite proxy (Level 1 and Level 2 proxy defined by ProxyJu
发布时间:2014-10-17 | 类别: | 阅读:322000 | 评论:0 | 标签:代理 proxy

2014读书记录

今年大部分阅读是通过手机GReader来完成的,能了解最新的技术、社区资讯,不过看完就忘沉淀不多,年末咬咬牙卸掉了。以后准备沉下心来多读读书,沉淀下自己。读书状态如下:读完:《南传(资本运作连锁营销)自助反洗脑流程》《Rich Dad Poor Dad》《众病之王·癌症传》《大型网站技术架构》读中:《七周七语言·理解多重编程范式》《机器学习》
发布时间:2014-07-09 | 类别: | 阅读:290210 | 评论:0 | 标签:读书

ubuntu下的码农常用工具

最近MBP给了女友,重新回到ubuntu的怀抱。下面是个人在ubuntu下常用的软件:IDE:PycharmPHPStormZend Studio文本编辑器:VIMSublime Text版本管理:svnRapidSVNgitgit ui文件对比:Meld DiffVimdiff数据库:pgadmin3TORa浏览器:chrominumfirefoxWEB安全:burp suitesqlmapnmapfirefox hackbarmetasploit学习:calibre其他:virtualenv先写这么多,随时补充…
发布时间:2014-05-10 | 类别: | 阅读:335379 | 评论:4 | 标签:ubuntu ubuntu常用工具 ubuntu gui工具

公告

҉百度内部推荐,高级研发/PM(需2年以上工作经验)。
有意者微博私信联系~

微博言语

文章分类