thái

Ý tưởng Dựa vào gợi ý của Amit Klein : Notice the first limitation of the technique - it states that no raw CR and LF can be placed in the body section. This means that the technique cannot be used to send (POST) requests whose body complies with the "multipart/form-data" content-type format (this format uses raw CRs and LFs to mark headers and boundaries). In other words, a (POST) request whose body is a valid "multipart/form-data" stream is guaranteed (as far as today's knowledge extends) not to be sent from a Flash player. Web application authors can therefore use HTML forms whose ENCTYPE attribute is set to "multipart/form-data", and enforce that the submission contains a valid multipart/form-data body. Once these mechanisms are in place, and a request passes through, it is known not to originate from a Flash player, so the attack described here is irrelevant. Gợi ý ở trên có thể được diễn giải như sau: Cách thức browser xử lí các HTML form có e...

Tôi mới làm xong cái slide nói về đề tài trên. Mặc dù bàn về DDoS nhưng cũng có nhiều thông tin về xây dựng hệ thống sao cho đảm bảo về performance và scalability. Tôi sẽ trình bày về đề tài này vào lúc 9h sáng 09/06/2007, tại Lầu 2 - Nhà Hàng LION – 11C Công Trường Lam Sơn, Q.1.

Để dành đọc vào dịp cuối tuần cũng thú vị : Web Browser Intranet Hacking / Port Scanning - (with JavaScript and with HTML-only and the improved model ) Internet Explorer 7 "mhtml:" Redirection Information Disclosure Anti-DNS Pinning and Circumventing Anti-Anti DNS pinning Web Browser History Stealing - (with CSS , evil marketing , JS login-detection , and authenticated images ) Backdooring Media Files ( QuickTime , Flash , PDF , Images , Word [ 2 ], and MP3 's) Forging HTTP request headers with Flash Exponential XSS Encoding Filter Bypass ( UTF-7 , Variable Width , US-ASCII ) Web Worms - ( AdultSpace , MySpace , Xanga ) Hacking RSS Feeds Để ý cái thứ 6, nó chính là xFlash!