印度安全研究人员Laxman Muthiyah 在Facebook Graph API上发现一个安全漏洞,攻击者可以利用该漏洞删除任意用户Facebook相册。 什么是Graph API? Facebook Graph API可以理解为一个可以访问Facebook数据的Web服务。该API提供了对人员,相册,事件等等Facebook对象以及这些对象之间诸如朋友,标签,分享内容等等连接之间的访问。 当输入一个URL后,会返回一个Json对象 。Gra ... 全文 »
早在一年前,美国国防部先进研究项目局(DARPA)曾透漏过一个秘密项目——一款新型搜索引擎,通过深度挖掘暗网(Dark Web),获取Google搜索和其他商业搜索引擎未能涉及到的所有隐秘信息。现在,它已经悄然问世。 什么是暗网 暗网并非十分庞大,甚至没有想象中那样特别的神秘。事实上,所谓“暗网”都是公共可见的网站,但却将真实的服务器IP隐藏了而已。这意为着,任何人都可以访问暗网,但“暗”就暗在这些网站隐藏极深,难以调查的幕后。 黑客辞典:暗 ... 全文 »
什么是Markdown? Markdown是一种轻量级的标记语言,流行程度已经得到了GitHub和Stack Overflow的广泛支持,作为普通人我们也可以轻松上手。 用markdown来写文章非常赞,那些琐碎的HTML标签都可以抛到脑后不用管。最近5年内,markdown收到非常多的关注,包括Reddit,Github,StackOverflow在内的很多应用都使用 markdown这也催生了很多的markdown解析器的产生,这里定义了一些markd ... 全文 »
CSRF的漏洞原理和利用方式这里就不多赘述了。平时大家讨论的CSRF利用多是发送一次请求。比如CSRF刷粉丝,CSRF发微博。这里主要讨论一个稍微复杂点的利用场景。 最近在做测试的时候遇到一个案例,用户绑定邮箱的请求没有防御CSRF。但是大家都知道绑定邮箱这个操作不是一步完成了。这次遇到的这个案例是这样的。用户发送一个申请绑定邮箱的请求,服务器给该邮箱发送一个验证码,然后用户在页面中输入验证码完成绑定。 从上图的路程中可以看出。按照常见的csrf的漏洞来说 ... 全文 »