tombkeeper2015-06-17 13:30Open options我作为一个搞二进制的,为啥会研究 JSONP 呢?同样是利用浏览器漏洞,寻常挂马相当于炸弹,炸到谁算谁;水坑攻击相当于导弹,有目的地攻击一类目标;而结合 JSONP 识别的浏览器漏洞利用则相当于狙击,除了指定目标,不会误伤任何人,所以难检查难发现。要研究怎么检测 APT,自然要研究这类高级技巧。 详情
tombkeeper2015-06-17 11:02Open options感觉阿来是被传染了鱼虱病。2015-06-17 09:54被tk转发1次Open options抱歉,作者已设置仅展示半年内微博,此微博已不可见。 详情
tombkeeper2015-06-17 09:47Open options测试效果可以点这个链接看看:网页链接tombkeeper2015-06-16 15:21被tk转发1次Open options这条微博 微博正文 说的是啥意思呢——比如你登陆过微博(或其它有类似问题的网站),然后用了很多层国外代理,从保加利亚连到南斯拉夫,最后到天涯上新注册一个账号,匿名发帖谈自己的一夜情经历。这时候,天涯实际上可以知道你的微博账号是什么,能控制信道的人也可以知道。 详情
tombkeeper2015-06-16 15:40Open options至于纽约时报那篇文章说“中国那15家网络服务平台似乎从未修补过该漏洞”,实在是不了解中国而产生的阴谋论。国内对用户隐私相对要马虎一些,常有过分强调安全要给业务让步的情况,有些厂商是真的不认为 JSONP 是需要解决的问题。还有些厂商其实已经修复了很多此类问题,但实在是太多了,修不过来。 详情
tombkeeper2015-06-16 15:21被tk转发1次Open options这条微博 微博正文 说的是啥意思呢——比如你登陆过微博(或其它有类似问题的网站),然后用了很多层国外代理,从保加利亚连到南斯拉夫,最后到天涯上新注册一个账号,匿名发帖谈自己的一夜情经历。这时候,天涯实际上可以知道你的微博账号是什么,能控制信道的人也可以知道。 详情