JavaScript 超级 BUG!多款 x86/ARM 处理器瞬间遭破解 https://www.oschina.net/news/82108/javascript-bug-cause-cpu-aslr-invalid 来自阿姆斯特丹自由大学系统及网络安全小组 VUSec 的研究人员本月 15 日揭露了一项攻击技术,可绕过 22 款处理器的 “位址空间配置随机载入”(ASLR)保护,波及 Intel.AMD.NVIDIA 及 SAMSUNG 等处理器品牌. ASLR 是许多操作系统的预设安全机…

本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/5791da152168f2690e72daa4 “8小时内拼工作,8小时外拼成长”这是大家共同的理想.除了每天忙于工作外,我们都希望能更多地区吸收领域内的新知识与新技能,从而走向人生巅峰. Dev Club 是一个交流移动开发技术,结交朋友,扩展人脉的社群,成员都是经过审核的移动开发工程师.每周都会举行嘉宾分享,话题讨论等活动. 上一期我们邀请了腾讯 WXG iOS 开发工程师…

前不久有个网友问我在前端使用requireJs和seajs的问题,我当时问他你们公司以前有没有自己编写的javascript库,或者javascript框架,他的回答是什么都没有,他只是听说像requirejs和seajs是新东西新技术,很有价值所以想用它. 这位网友的问题引起了我对javascript模块加载技术的思考,上篇文章我给出了自己写的一个javascript库的基本结构,其实写这篇文章的一个起因就是因为我想使用requirejs或者seajs这样的技术来重新设计我写javascrip…

SQL 注入,永不过时的黑客技术 TalkTalk的信息泄漏事件导致约15万人的敏感信息被暴露,涉嫌造成这一事件的其中一名黑客使用的并不是很新的技术.事实上,该技术的「年纪」比这名15岁黑客还要大两岁. ［译注:TalkTalk是英国电话和宽带供应商,这件信息安全事故发生在2015年10月份,当时这件事情还挺轰动的,上了新闻头条,其中一名黑客年仅15岁.］ 这项技术就是大名鼎鼎的SQL注入,所谓SQL注入就是黑客在网站的提交表单数据中输入恶意命令从而获取数据的方法.它曾经被用来窃取世界卫生组织员…

前言 该文章主要是讲解了常见的应用程序黑客技术基本概念,包括消息钩取,API钩取,DLL注入,代码注入 天象独行 0X01:消息钩取 原理:在我们通过键盘,鼠标等输入信息过程中,Windows会通过钩链(HookChain)来处理这些信息.所谓的钩链本质上是一个列表,包含处理消息的一系列函数的指针列表.这么来看,所谓的消息钩取本质上是将恶意进程的指针注入到钩链当中.导致钩链在处理信息的过程中执行其他操作.比如:键盘记录器. 利用方法:文件user32.dll当中的SetWindowsHookEx…

一,Web安全的关键点 1.同源策略是众多安全策略的一个,是Web层面上的策略.很重要. 2.同源策略规定:不同域的client脚本在没明白授权的情况下.不能读写对方的资源. 3.同域要求两个网站同协议,同域名,同port. 4.当然,在同一个域内.client脚本能够随意读写同源内的资源,前提是这个资源本身是可读可写的. 5.安全类似木桶原理,短的那块板决定了木桶实际能装多少水.一个Webserver,假设其上的站点没做好权限分离,没控制好信任关系,则总体安全性就由安全性最差的那个站点决定.…

在前端开发中,调试技术是必不可少的技能,本文将介绍五种前端开发必备的调试技术. Weinre移动调试 DOM 断点 debugger断点 native方法hook 远程映射本地调试 Weinre 在移动上面开发调试是很复杂的,所以就有了weinre.安装weinre可以实现pc来调试手机页面,所以对于移动开发调试是很重要的哦~ 安装weinre weinre可以通过npm来安装: 1 npm install -g weinre 安装完之后,可执行下面的命令来启动: 1 weinre --http…

在黑客的世界里,没有坚不可破的防护系统,也没有无往不胜.所向披靡的入侵利器,有时候看似简单的问题,破解起来也许花上好几天.好几个月,有时候看似很 low 的工具往往能解决大问题:我们以实现微信自动抢红包为引子,逐步展开 iOS 黑客入侵常用的几种武器,并简单的讲解一些常用的反入侵策略,以及如何破解反入侵策略,虽然抢红包的破解代码网上有很多,但是我们要讲的是这些代码是用什么工具分析出的,为什么要这样写? 内容大体框架: 让目标程序破茧而出 -- dumpdecrypted 运行时分析 -- cyc…

如今的 JavaScript 技术界里最火热的一项技术应该是‘事件委托(event delegation)’了.使用事件委托技术能让你避免对特定的每个节点添加事件监听器:相反,事件监听器是被添加到它们的父元素上.事件监听器会分析从子元素冒泡上来的事件,找到是哪个子元素的事件.基本概念非常简单,但仍有很多人不理解事件委托的工作原理.这里我将要解释事件委托是如何工作的,并提供几个纯JavaScript的基本事件委托的例子. 假定我们有一个UL元素,它有几个子元素: 1 2 3 4 5 6 7 8 <…

如今的JavaScript技术界里最火热的一项技术应该是‘事件委托(event delegation)’了.使用事件委托技术能让你避免对特定的每个节点添加事件监听器:相反,事件监听器是被添加到它们的父元素上.事件监听器会分析从子元素冒泡上来的事件,找到是哪个子元素的事件.基本概念非常简单,但仍有很多人不理解事件委托的工作原理.这里我将要解释事件委托是如何工作的,并提供几个纯JavaScript的基本事件委托的例子. 假定我们有一个UL元素,它有几个子元素: 1 2 3 4 5 6 7 8 <ul…