代码注入

xss与csrf区别

是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
小醋花生·2016-10-09 11:48

远程代码注入的介绍与代码防御

0x01介绍Web应用程序使用操作系统呼叫来执行本机图像,以扩展它们的功能或运行旧版代码。不用说,直接抵达这些呼叫的用户输入当然极危险,因为如此一来,恶意用户便可以使用应用程序主机的凭证来运行本机代码,甚至造成彻底的系统伤害。传播到共享库装入方法(如Java的java.lang.Runtime.loadLibrary)中的用户输入也同样危险,也应该避免。即便用户只控制图像参数,未控制要装入的图像,
煜铭2011·2016-10-07 10:20

【原】iOS动态性(三) Method Swizzling以及AOP编程:在运行时进行代码注入

概述今天我们主要讨论iOSruntime中的一种黑色技术,称为MethodSwizzling。字面上理解MethodSwizzling可能比较晦涩难懂,毕竟不是中文,不过你可以理解为“移花接木”或者“偷天换日”。用途介绍某种技术的用途,最简单的方式就是抛出一些应用场景来引出这种技术的必要性。因此,这里我举个例子如下。假设工程中有很多ViewController,我需要你统计每个页面间跳转的次数。要
幻世神码·2016-09-16 22:24

MyBatis如何防止SQL注入

SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。
积淀·2016-09-13 17:00

SQL注入攻击(ORACLE)---之sql条件注入浅谈

针对Oracle数据库的SQL注入攻击主要有下面4类:1、SQL篡改2、代码注入3、函数调用注入4.
炀大人·2016-09-12 10:41

ISA Swizzling 《iOS编程实战》

《iOS编程实战》24.6节方法混写和ISA混写的区别KVO是通过ISA混写实现的,这样系统框架就可以在我们的类中注入通知代码,一如把代码注入系统框架。
iChanne·2016-09-04 00:20

web安全知识总结

XSS(跨站脚本攻击)定义是代码注入的一种,允许恶意用户将代码注入到网页中,其他用户在观看网页时就会收到影响,这类攻击通常包含了HTML及用户端脚本语言分类存储型攻击代码会被永久存储反射型攻击代码被服务器原样返回
jasminecjc·2016-08-29 00:00

json与jsonp知识小结(推荐)

1.23②字符串(在双引号中)③逻辑值(true或false)④数组(在方括号中)⑤对象(在花括号中)⑥null2.json解析方法①eval('('+jsondata+')');使用时永远是不安全的,代码注入
Silence·2016-08-16 10:36

PHP安全编程之文件包含的代码注入攻击

一个特别危险的情形是当你试图使用被污染数据作为动态包含的前导部分时:在这种情形下攻击者能操纵不只是文件名,还能控制所包含的资源。由于PHP默认不只可以包含文件,还可以包含下面的资源(由配置文件中的allow_url_fopen所控制):include语句在此时会把http://www.google.com的网页源代码作为本地文件一样包含进来。虽然上面的例子是无害的,但是想像一下如果GOOGLE返回
爱代码也爱生活·2016-08-10 11:32

SpringAOP入门

阅读更多一,SpringAOP初探使用AOP,你可以将处理aspect的代码注入主程序,通常主程序的主要目的并不在于处理这些aspect。AOP可以防止代码混乱。AOP是很多直觉难以理解的术语的根源。
CoyoteStark·2016-08-01 01:00

SpringAOP入门

阅读更多一,SpringAOP初探使用AOP,你可以将处理aspect的代码注入主程序,通常主程序的主要目的并不在于处理这些aspect。AOP可以防止代码混乱。AOP是很多直觉难以理解的术语的根源。
CoyoteStark·2016-08-01 01:00

文件包含漏洞

文件包含漏洞0x01产生原因在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入分类本地文件包含当被包含的文件在服务器本地时
Le0nis·2016-07-27 11:05

任意代码执行

phpevalassertasppythonexecjavaJava中没有类似php中eval函数直接可以将字符串转化为代码执行的函数,但是有反射机制,如反射机制的表达式引擎:OGNLSpELMVEL0x02php中能造成代码注入的主要函数执行代码的函数
Le0nis·2016-07-26 15:24

任意代码执行漏洞

0x00什么是任意代码执行当应用在调用一些能将字符串转化成代码的函数(如PHP重的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。
nw01f·2016-07-25 21:45

JAVA:URL存在跨站漏洞,注入漏洞解决方案

跨网站脚本介绍一跨网站脚本跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
胡小晶·2016-07-15 14:03

另类Unity热更新大法:代码注入式补丁热更新

原创镜像:http://www.jianshu.com/p/481994e8b7df眼看Unity引擎热火朝天,无数程序猿加入到了Unity开发的大本营。一些老项目,当时ulua/slua还不如今天那样的成熟,因此他们选择了全c#开发;也有一些出于性能考虑,全c#开发;也有一些没有太丰富运营经验的开发团队,没有想太多,用全c#爽爽地开发。用C#开发爽爽的日子一天一天的过去了,直到突然有一天,策划老
chepy·2016-07-07 09:44

php编程安全指南

php.ini安全设置 3)使用MVC框架2、数据传输 1)在$_GET的$_POST,$_COOKIE,和$_REQUEST中,消毒和验证之前以编程方式操纵数据中包含的所有数据 2)SQL注入定义:代码注入技术
nuli888·2016-07-05 14:00

Java 8 Lambda表达式探险

表达式   主要有三个原因:   >更加紧凑的代码     比如Java中现有的匿名内部类以及监听器(listeners)和事件处理器(handlers)都显得很冗长   >修改方法的能力(我个人理解为代码注入
youzhouliu·2016-07-03 22:00

Xcode 扩展

这意味着想要将代码注入到Xcode进程已经不可能了,并且Al
SwiftGG翻译组·2016-06-23 00:00

代码注入

代码注入Shell注入我们先来看一段perl的代码:useCGIqw(:standard);$name=param('name');$nslookup="/path/to/nslookup";printheader
qq_29277155·2016-06-16 19:00

Android动态方式破解apk前奏篇(Eclipse动态调试smail源码)

之前其实已经在一篇文章中说到如何破解apk了:Android中使用静态方式破解Apk主要采用的是静态方式,步骤也很简单,首先使用apktool来反编译apk,得到smail源码,然后分析smail代码,采用代码注入技术来跟踪代码
JiangWei_App·2016-06-10 17:31

android 进程注入流程

概述我们平时所说的代码注入,主要静态和动态两种方式:静态注入,针对是可执行文件,比如修改ELF,DEX文件等,相关的辅助工具也很多,比如IDA、ApkTool等;动态注入,也可以叫进程注入,针对是进程,
yunshouhu·2016-06-07 23:25

Android逆向之旅---动态方式破解apk前奏篇(Eclipse动态调试smail源码)

之前其实已经在一篇文章中说到如何破解apk了:Android中使用静态方式破解Apk  主要采用的是静态方式,步骤也很简单,首先使用apktool来反编译apk,得到smail源码,然后分析smail代码,采用代码注入技术来跟踪代码
jiangwei0910410003·2016-05-20 13:00

Android APP热更新中的插件化(Hook技术:反射或动态代理),Demo (2)

修改AAPT,资源分区,用于Android插件化-https://github.com/BaoBaoJianqiang/AAPT--Android下的挂钩(hook)和代码注入(inject)apihook
desaco·2016-05-19 16:09

【Bugly干货分享】手把手教你逆向分析 Android 程序

第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?第二张图是微信运动步数作弊,6不6?
Tencent_Bugly·2016-05-16 18:00

【Bugly干货分享】手把手教你逆向分析 Android 程序

第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?第二张图是微信运动步数作弊,6不6?
腾讯bugly·2016-05-16 12:00

【Bugly干货分享】手把手教你逆向分析 Android 程序

第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?第二张图是微信运动步数作弊,6不6?
腾讯Bugly·2016-05-16 12:29

手把手教你逆向分析 Android 程序

第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?第二张图是微信运动步数作弊,6不6?ok,那我们从头说起。
腾讯Bugly·2016-05-16 00:00

EXE注入-傀儡进程

EXE注入-傀儡进程2008-08-1616:38     直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess来创建一个挂起的IE进程,创建时候就把它挂起。
victerymars·2016-05-09 16:00

Trend笔试题(部分)

实模式vs保护模式API代码注入多级页表vs单级页表DNS获取的信息包括哪些:ip地址记录,指针记录,名称记录服务器,域名别名等软件漏洞类型traceroute利用了ip协议的哪个功能:TTL为什么端口只有
伪砖家·2016-05-04 22:45

Elixir: 使用Mixin实现OOP的继承效果

原理使用use以宏的方式把代码注入到实例模块中,作用类似其他语言中的抽象基类,或Mixin说明先上一段代码,可以把它认为是一个基类模块,子类模块可以继承这个基类中已经实现了的方法(函数)基类模块requireLoggerdefmoduleEctoTest.Modeldo
developerworks·2016-04-27 00:00

浅谈Web安全-XSS攻击

简单的说一下我对Web安全的了解,主要是代码注入方面。
ClaireKe·2016-04-24 17:37

浅谈Web安全-XSS攻击

简单的说一下我对Web安全的了解,主要是代码注入方面。
ClaireKe·2016-04-24 17:37

浅谈Web安全-XSS攻击

简单的说一下我对Web安全的了解,主要是代码注入方面。
ClaireKe·2016-04-24 17:00

浅谈Web安全-SQL注入

简单的说一下我对Web安全的了解,主要是代码注入方面。SQL注入简介:SQL攻击(SQLinjection),简称为注入攻击,是发生于应用程序数据库层的安全漏洞。
ClaireKe·2016-04-22 21:42

浅谈Web安全-SQL注入

简单的说一下我对Web安全的了解,主要是代码注入方面。SQL注入简介:SQL攻击(SQLinjection),简称为注入攻击,是发生于应用程序数据库层的安全漏洞。
ClaireKe·2016-04-22 21:00

Mixin

Mixin是一种编程概念,用来将代码注入到一个类里,是被注入的类具备Mixin所实现的功能。当需要在多个类之间服用代码时,将这部分代码抽出来定义一个新的类,就构成了一个新的类。
人间四月·2016-04-11 16:00

如何保护我的站点免受SQL入攻击——常见网站攻击手段原理与防御

基于这种执行方式产生了一系列叫做代码注入的漏洞。然而开发没有过滤敏感字符,绑定变量,导致攻击者可以利用SQL灵活多变的语法构造精心巧妙的语句,不着手段达成目的,或者通过系统报错返回对自己有用的信息。
guugle2010·2016-04-09 19:40

代码注入方式

开发程序过程中遇到最可怕的被攻击方式之一就是代码注入,sql注入,脚本数据,callback回调,跨域攻击等,参数钩子等,查询了很多相关资料,给大家简单整理了一下,先列出以下几点:Shell注入我们先来看一段
anguowei·2016-04-08 10:10

Win32环境下代码注入与API钩子的实现

本文详细的介绍了在VisualStudio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典软件的屏幕取词,游戏修改软件的数据修改等。当然,此技术更多的是被黑客或是病毒用来攻击其它程序,截获需要的数据或改变目
·2016-04-02 12:00

XSS之xssprotect

code.google.com/p/xssprotect/一跨网站脚本介绍    跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种
SharkBin·2016-03-28 16:00

Method Swizzling以及AOP编程:在运行时进行代码注入-备用

概述今天我们主要讨论iOSruntime中的一种黑色技术,称为MethodSwizzling。字面上理解MethodSwizzling可能比较晦涩难懂,毕竟不是中文,不过你可以理解为“移花接木”或者“偷天换日”。用途介绍某种技术的用途,最简单的方式就是抛出一些应用场景来引出这种技术的必要性。因此,这里我举个例子如下。假设工程中有很多ViewController,我需要你统计每个页面间跳转的次数。要
幸福小祢·2016-03-21 23:00

玩转ptrace(利用ptrace下断、单步调试、修改代码执行、代码注入等)

下面是转帖的内容,写的很详细。但是不同的linux发行版中头文件的路径和名称并不相同。如在某些发行版中就不存在,其中定义的变量出现在和中。==================================================================================================byPradeepPadalaCreated2002-11-010
beyond702·2016-03-11 15:00

阅读计划

2.对于一个大型程序代码注入检测代码加入到每个函数中是否工作量太大3.在
四季信风·2016-03-05 10:00

Jar代码注入

有段时间没有写博客了,主要的原因是期末考试和回老家过年,这段时间基本上没有看相关的内容,不过还是有很多可以用来分享的。就像前一篇日志提到的一样,Java可以从字节码的方式进行玩耍。通过使用Javassist这个类库,可以很方便的进行字节码的操作。从这个角度讲,有很多我们之前没有想到的方面也可以进行实施。比如说有这么一个jar包,需要进行引用开发,于是乎,我们可以进行一些简单的恶作剧,可以在某一个方
yunshouhu·2016-03-04 11:13

Jar代码注入

有段时间没有写博客了,主要的原因是期末考试和回老家过年,这段时间基本上没有看相关的内容,不过还是有很多可以用来分享的。就像前一篇日志提到的一样,Java可以从字节码的方式进行玩耍。通过使用Javassist这个类库,可以很方便的进行字节码的操作。从这个角度讲,有很多我们之前没有想到的方面也可以进行实施。比如说有这么一个jar包,需要进行引用开发,于是乎,我们可以进行一些简单的恶作剧,可以在某一个方
earbao·2016-03-04 11:00

PHP create_function()代码注入

第一部分:介绍php函数create_function():stringcreate_function  (string$args ,string$code )string$args变量部分string$code方法代码部分举例:create_function('$fname','echo $fname."Zhang"')类似于:function fT($fname) {   echo $fnam
605939578·2016-02-19 16:41

XSS过滤器Bypass的一些姿势 - xiaix

XSS攻击是一种攻击者将JavaScript代码注入到用户运行页面中的攻击。为了避免这种攻击,一些应用会尝试从用户输入中移除JavaScript代码,但这很难完全实现。
qq_27446553·2016-02-18 10:00

使用SQLMAP对网站和数据库进行SQL注入攻击

SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没
狼人:-)·2016-02-02 19:26

使用安全json parser防止json注入

有些程序员如果没有很好的在javascript中解析json数据,往往会直接eval把json转成js对象,这时候如果json的数据中包含了被注入的恶意数据,则可能导致代码注入的问题。
有些服务器·2015-12-15 20:00
上一页 16 17 18 19 20 21 22 23 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他