Kết quả tìm kiếm

Tóm tắt Bài viết này trình bày một số vấn đề về bảo mật trong giao thức HTTP, được nêu ra trong hai tài liệu RFC 7230 và RFC 7231. Các ví dụ trong bài viết về các lỗi cụ thể được tham khảo từ OWASP. Bài viết gồm 8 mục, sẽ được chia thành 2 phần. 1. Rủi ro từ các yếu tố trung gian HTTP cho phép...

3. Cách phòng chống3.1. Các phương pháp không hiệu quảSử dụng secret cookie Nên nhớ rằng mọi cookie, dù là bí mật đi chăng nữa, cũng đều được submit mỗi khi người dùng request đến server. Tất cả các token dùng để xác thực sẽ được submit bất kể người dùng cuối có bị lừa hay không. Hơn nữa...

Tóm tắt Bài viết này đề cập đến một lỗ hổng thường xuất hiện trong các ứng dụng web, nằm trong OWASP TOP 10 (2013) – CSRF. Bài viết được tổng hợp từ các tài liệu về CSRF, cách kiểm tra, đánh giá code và cách phòng chống CSRF của tổ chức OWASP. 1. CSRF là gì? Cross-Site Request Forgery, cũng...

WPScan team (nhóm phát triển công cụ WPScan) đã cho ra mắt website chứa dữ liệu về các lỗ hổng đã phát hiện được trên WordPress: https://wpvulndb.com/ Trước đó cũng đã có một website khác, cũng chứa dữ liệu về các lỗ hổng trên WordPress: http://wordpressexploit.com/ Các bạn tham khảo nhé ;)

1. Nguyên nhân Sau mỗi lần user đăng nhập thành công thì session sẽ được định nghĩa lại và có một session ID mới. Nếu attacker biết được Session ID mới này thì attacker có thể truy cập vào ứng dụng như một user bình thường. Có rất nhiều cách để attacker có thể lấy được session ID và chiếm phiên...

1. Giới thiệu Session Fixation là một kỹ thuật cho phép hacker có thể chiếm đoạt session của người dùng. Kỹ thuật này lợi dụng việc server không thay đổi giá trị của session ID mỗi khi người dùng đăng nhập, thay vào đó nó sử dụng session ID sẵn có trước đó. Quá trình tấn công bao gồm việc lấy...

3. Một số vấn đề bảo mật khi sử dụng cookie Nếu một website sử dụng session ID để xác định phiên làm việc của người dùng, kẻ tấn công có thể có thể đánh cắp cookie để giả mạo người dùng. Sau đây là một số kịch bản đánh cắp cookie thường gặp: Nghe lén (eavesdropping) Traffic trong một hệ thống...

1. Giới thiệu Cookie, hay HTTP cookie, web cookie, browser cookie là một đoạn dữ liệu nhỏ được gửi từ phía website và lưu trữ ở trình duyệt của người dùng khi họ duyệt website này. Mỗi lần người dùng load website, trình duyệt sẽ tự động gửi cookie về web server để thông báo cho website biết các...

Re: Đăng ký ngay để tham dự cuộc thi WhiteHat Contest lần 2 Bạn yeuchimse đã có 300 điểm đầu tiên :D

Re: Thông báo Cuộc thi WhiteHat Contest - Cuộc thi thực hành kiến thức an toàn thông WhiteHat Contest lần 2 sẽ được tổ chức vào thứ 6 tuần này bạn nhé. Ban tổ chức sẽ ra thông báo trong ngày hôm này.

Re: Thông báo Cuộc thi WhiteHat Contest - Cuộc thi thực hành kiến thức an toàn thông Bạn knight9 đã giải xong level 4 :D

Re: V/v Lỗi phần thử thách khi tham gia thi Các kỳ WhiteHat Contest sẽ có chủ đề khác nhau :)

Re: V/v Lỗi phần thử thách khi tham gia thi Đã có thêm 1 level bạn nhé :)

Re: Thông báo Cuộc thi WhiteHat Contest - Cuộc thi thực hành kiến thức an toàn thông Đã có level mới :)

Re: Thông báo Cuộc thi WhiteHat Contest Cuộc thi thực hành kiến thức an toàn thông ti Lần thi đầu tiên nên có lẽ các level sẽ không khó lắm. Việc rinh quà về chắc cũng dễ hơn các lần sau :cool:

HACK THIS SITE! (copy lại từ vozforum) Bạn là một quản trị hệ thống muốn tìm hiểu về bảo mật? Bạn là một lập trình viên muốn biết các lỗi bảo mật thường gặp phải trong việc coding? Bạn là một người đam mê security và muốn biết hacker làm như thế nào mà có thể xâm nhập được vào các server...

Hãng bảo mật Kaspersky Lab ngày 5/8 cảnh báo, tài khoản dùng trên Apple (Apple ID) đang là mục tiêu tấn công của tội phạm mạng.Cụ thể, hình thức tấn công chủ yếu được tin tặc sử dụng là các trang web lừa đảo (phishing site), bắt chước trang web chính thức của apple.com. Theo Kaspersky, số lần...

I. File Inclusion Trong lập trình PHP có các lệnh là include, require, include_once, require _ once cho phép việc file hiện tại gọi ra một file khác. File Inclusion Attack: là kỹ thuật khai thác dựa trên lỗi include file trong PHP. Dấu hiện để có thể tấn công FI là đường link thường...

3. Khả năng lần vết các Tor node và chống tấn công từ mạng Tor - Chống lại các truy cập từ mạng Tor trước khi bị tấn công có thể thực hiện được: Tạo ra một hệ thống honeypot để thu thập thông tin mạng Tor, xây dựng bản đồ mạng Tor, monitor người dùng Tor từ các nước, thống kê việc...