|
| |
|
| <![CDATA[<span id="7ztzv"></span>]]><![CDATA[<form id="7ztzv"></form>]]> | | |
|
<![CDATA[<span id="7ztzv"></span>]]> |
|
|
|
|
<![CDATA[<address id="7ztzv"></address>]]>
| |
==Ph4nt0m Security Team==
Issue 0x01, Phile #0x04 of 0x06
|=---------------------------------------------------------------------------=|
|=----------------------=[ ?????????2008 ]=---------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=--------------------=[ By axis ]=--------------------=|
|=--------------------=[ <axis_at_ph4nt0m_dot_org> ]=--------------------=|
|=---------------------------------------------------------------------------=|
????????????????????????????????????????????????????????????????
??о????????????к????????????о?????????????????Щ????????????
?????о??????????????????????????????????????????????????????
?????????????????????????????????????????????????δ?????????????
???????
???????????????????????????е?XSS????????????????????????????????????
?escape output??filter input???????????????????????????????e?????
??ū????????????????escape output????????????????????????????????????
???????в???????????????????????Щ???????????
????????????????????????????????????·??????????????????????????
????????????????????????????????????????????????????????????????
????????????????????????????Υ??
????????????????????????????и?????????????????????????3?????
????????????????Σ???????????filter input??????????и??????????escape
output??????????????????????????????????????????????Щ???????????????????
???????????????????е????????????????????Щ????????????????????
xss defense??????????????????????????????????filter input?????????μ?
????
????????????????????????????????????PK???filter input???????????
???????????????????????????????СС????????????????????????????????
?Ц??????????????????????????????????????????????????????????????
????????????????????????????????????????????????ó???????filter??
??????????д????????????blacklist??????????????????????script?????
???????????????????????????????????style????????????????????????м?
????????style???????????????????????????????????????????????????????
???????????????????html purify??????????log analysis??realtime monitor?????
????????????????????????????????????????????????????????
????????????????????????????????????????????????????????FBI?????
????????????????????????????????????????????????????????
???????????????????????????????????????B??????????ɡ??????????
????????????????????????????????????????????????????????????????
????????????t????????????
??????????£?????????????????????????filter?????????????Ч???????
?????????????????ó?????????и??????????????escape output???????
???????????????????????????????????????????xss????????????????
escape????????????????????????λ?????????????????????????????????????
????????·????????????????????????????
????????????????????????????????????????????????????μ?????????
??filter output??????????????????????????yy????????????????????????????
WAF??????web application firewall???????????????????????????????web???????
??????????????WAF?????????????α??α?????????????????????????????????
С???????????????????????ü?????????PK??????
???????????Щ?????????????????漼???ɡ???XSS?????????????????????
???????????????????
??????????????????process?????????????????е??????????? ... ??N??????
?????????????????棬?????????????????????????????????????????????????
????????????????????????????μ?????????????????????????????????????
???????????????????????????????hacking??anti-hacking???????????????????
????????????????
???BOSS???????????????????????????720??????????????氳?????ù????
?????????????IPS?????????????д????????? ?????????????ε???????У???
???к??trojan??rootkit????bypass?????????????shellcode??0day????anti IPS?? ??
??BOSS??????????? ????????????????????? ????????????????????????????
??90%??????? ????BOSS??????????????????????????棬?????г?????????У?
????????????????????
???BOSS????????????????????????????????????????????????????????
????????????????????box???????????????100%?????????????????????
???????????????????????????????????????????????????????????????
???壬??????????????????????????????????????????????????????????????
???????????????????????硢???????á??????????......
????????????壬????????????????????????????????????????ū???
???????????????????廥????????????????????????
??????WAF?????????????????????????????????????????????????????
?????????????????????????????????WAF?????????кú?????????????
???WAF??IPS?????????????????????????????????????????????????????????
???????????????????????????????????????????????????????????
????????????????????PV?????????????????????????????????WAF?????
??????????????ú?????????????????????а????????????monitor???????????
????????????????塣??????????úá?
?????????????????(Process)?????????????????????????????滹??????
???????????????????YYС?????????д????????????????XXX??xx????????
????N?????????N????100?????ν?????????????????????????????????????????
??????????????????????????????YY????????????????????????????????
???????????????з???????????????????????????????????磺???????????
?????B??????????????????????????????????ò?У??????????????DB???????
??sql?????????????????????????????????????arp spoof??????????????????ACL????
???????к??????????????????????????????????????????Ч????
?????????в?????????????????????????????????????filter input????
?escape output????????????????????????????嶯?????????????????????
?filter input????????????????bypass??????????????????????0day(bypass
filter)??9?????????B???????????????????????escape output?????????escape
???????????????????????????????????????Щ???к?????????????????????DOM
???XSS????????JS?????Щд???BT???????????Щ??????????????PK???y????????
????????????????????????????????????????????????access control???
?й?????????????????????????п??????????????????????????????????????
????????????????Υ???????????????????????????????????й???????????
?????????????????????????????????????????????????XSS??CSRF?????
???????????????access control?????????????
???????????????????????????????????????????????????????????????
?????е??????????????????80???????RPC????????????????????????
???????????????????????????????????ò??????????????????????????
??????????????????????????????????в?????п?????μ??????????????????
???á??????????????????????????????????????????????????????????????
???????????????????????????
???????????????????????????????????????????????????????????
???????????????豨?棬?????:?????xxx ftp??????????????????????????
???????shell????????????????????????????80%??????????????????????
shell????????????dos?????????????ж?????infomation leak????????????
????????????????
???scan report???CVE????????????????????????????exp?????????????
?????????????и?????????????????????????shell???????????????????????
??????????????????????У??????????????????????????critical?????
??????exp?????????????exp?????????????????汾????????????????????
???ο????????????????????POC????????????????????????????????????????
??????????
???????POC?????????з?????????????????????????????????κ??????
?????????У??????????????й????????ж??????????????????????????????
??????в??Χ??С??????????????????????????в????????????????????????????
??????????????????????????????????????????????????????????????л??????
?????????????????????POC???????????????(ZhenHan.Liu)??????????????????
????μ?????μ?????
?????????????????????????????mission impossible?????????????
????????????????????????????????????????????????????????????
???????????Щ???web???????漼???ɡ???????????????????impossible??????
no patch for stupid??????phishing????????????????????????????????????????
???????????????????????????????????YY??YY????????????????????
??????????????????ò?????????
??????????????????????????????anti-phishing????????????????????????
?????(IE7/8)??????????toolbar????????????IM?????????????????malicious sites
??????з??????????????????blacklist??????????????????????У?????????
????????????????????д???????????yahoo??????sign seal????????????????
????????????????????????????????????????????????????????Ч????????á?
yahoo???????domainkey???????????????phishing??????????????????????????
????????yahoo???????????????????????????
??????????????????????????????????????????????????????????磬
?????????????????????????????淶????BS7799????????????????????????
???BOSS??????????????????????????????????????Щ?????????????????
????????????????????????????????????????????????????????BOSS?????????
????????????????????????????????????????????????????????????????
???????????????????????
???????????????????淶?????????N?????????????????????????code?淶??
?????Щ???????????????????????????????????????????????????????
???????????????е?????????????????????????????г??????????????????
????????????????????á??????????????????????????????????????designer
??architect??????С???????????????????????淶??б??????????
?????????????????????????????????????????????????????????淶???????
???????????????????????
????????????????????????????????????????????????????????????
???????к????????????д????????????????????????и???????????
??????????????????????????????????
-EOF-
|
| |
|
| <![CDATA[<span id="7ztzv"></span>]]><![CDATA[<form id="7ztzv"></form>]]> | | |
|
<![CDATA[<span id="7ztzv"></span>]]> |
|
|
|
|
<![CDATA[<address id="7ztzv"></address>]]>
| |