转:http://static.hx99.net/static/drops/papers-869.html 攻击JavaWeb应用[9]-Server篇[2] 园长 · 2014/01/22 12:58 注:在继后门篇后已经有很长时间没更新了,这次一打算写写Server[1]的续集.喜欢B/S吗?那我们今天干脆就来写一个简单的“Web服务器”吧. 0x01 WebServer Web服务器可以解析(handles)HTTP协议.当Web服务器接收到一个HTTP请求(request),会返回一个H…

转:http://static.hx99.net/static/drops/tips-604.html 攻击JavaWeb应用[7]-Server篇[1] 园长 · 2013/09/22 15:39 java应用服务器 Java应用服务器主要为应用程序提供运行环境,为组件提供服务.Java 的应用服务器很多,从功能上分为两类:JSP 服务器和 Java EE 服务器. 常见的Server概述 常见的Java服务器:Tomcat.Weblogic.JBoss.GlassFish.Jetty.Res…

转:http://static.hx99.net/static/drops/tips-662.html 攻击JavaWeb应用[8]-后门篇 园长 · 2013/10/11 19:19 0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少.在这里我分享几种比较有意思的JavaWeb后门给大家玩. 0x01 jspx后门 在如今的web应用当中如果想直接传个jsp已经变得比较难了,但是如果只限制了asp.php.jsp.aspx等这些常见的后缀应该怎样去突破呢?我在读t…

转:http://static.hx99.net/static/drops/tips-236.html 攻击JavaWeb应用[3]-SQL注入 园长 · 2013/07/16 18:28 注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关. 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行…

.DNS域欺骗攻击原理 DNS欺骗即域名信息欺骗是最常见的DNS安全问题.当一 个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了.DNS欺骗会使那些易受攻击的DNS服务器产生许多 安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器. 二.DNS域欺骗攻击实现步骤 1．配置实验环境: 2．假设攻击者已经侵入受害者机器实施攻击: 3．使用嗅探进行DNS ID欺骗: 4．DNS通配符攻击. 我们需要像图1那样设置实…

转:http://static.hx99.net/static/drops/tips-429.html 攻击JavaWeb应用[6]-程序架构与代码审计 园长 · 2013/08/12 16:53 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限.这一节重点是怎样去找到并利用问题去获取一些有意思的东西. Before: 有MM的地方就有江湖,有程序的地方就有漏洞.现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源…

转:http://static.hx99.net/static/drops/tips-347.html 攻击JavaWeb应用[5]-MVC安全 园长 · 2013/07/25 13:31 注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想.MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2.SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全,由浅到深尽…

IDT,一个基于Nodejs的,旨在脱离后端环境的前端开发套件,目的就是能让前端开发完全脱离后端的环境,无论后端是什么模板引擎(主流),都能应付自如. IDT主要包括两大部分:Server + Build,这一篇主要介绍Server篇. 为了辅助前端开发,一个本地的类似于Apache的服务器是少不了的,但是有个问题,如果项目中的html,是php的smarty模板怎么办?使用纯粹的静态服务器是不行的,因为对前端开发来说,这个html必须由php的smarty模板引擎来解析,前端人员不懂php怎么…

IDT,一个基于Nodejs的,旨在脱离后端环境的前端开发套件,目的就是能让前端开发完全脱离后端的环境,无论后端是什么模板引擎(主流),都能应付自如. IDT主要包括两大部分:Server + Build,这一篇主要介绍Server篇. 为了辅助前端开发,一个本地的类似于Apache的服务器是少不了的,但是有个问题,如果项目中的html,是php的smarty模板怎么办?使用纯粹的静态服务器是不行的,因为对前端开发来说,这个html必须由php的smarty模板引擎来解析,前端人员不懂php怎么…

二.网站Server 篇:使用内容分发网络为文件头指定Expires或Cache-ControlGzip压缩文件内容配置ETag尽早刷新输出缓冲使用GET来完成AJAX请求 11.使用内容分发网络 用户与你网站服务器的接近程度会影响响应时间的长短.把你的网站内容分散到多个.处于不同地域位置的服务器上可以加快下载速度.但是首先我们应该做些什么呢? 按地域布置网站内容的第一步并不是要尝试重新架构你的网站让他们在分发服务器上正常运行.根据应用的需求来改变网站结构,这可能会包括一些比较复杂的任 务,如在…