Author: jianxin [80sec]

[ 目录 ]

0×00 应用程序认证设计背景
0×01 常规攻击思路及缺陷
0×02 利用应用程序设计缺陷进行Session劫持的攻击原理

又更新了了
3.1 版本更新 2008年9月27日
1.增加预定义动作，即获得session后执行预定义的httprequest；
2.增加BUgReport
3.增加手动开始和停止按钮
4.界面和部分细节调整

作者：cnqing

完全版就是完全功能版，无URLfilter限制。
ssclone 可以复制同一交换机下任意http session 例如 blog,bbs,mail,webadmin

xcon,blackhat,redhat,whitehat~~~ 各种武林大会专用。。

Author: rayh4c [80sec]
EMail: rayh4c#80sec.com
Site: http://www.80sec.com
Date: 2008-9-21

作者：空虚浪子心

最近笔者在网上看到一个新文章《JSESSIONID Regeneration in Struts 2》，讲的是一段代码，在STRUTS 2框架中，防御Session Fixation攻击。笔者比较老土，看不懂英文，还好能看懂代码，发现这是一种平时开发中(至少自己是这样)，从来没注意过的攻击。关于这种攻击，刺在自己博客上写了篇文章《关于Session Fixation》。我在邮件列表，和文章后面跟帖讨论了下，但是仍然感觉自己说的不是很清晰，毕竟没有实战，所以实践了一下自己的想法，重新写篇文章补充下。注：为了保证质量，本文假设读者对cookie和session基本概念和特性已经掌握。

No Arp欺骗的会话劫持工具，支持上行，下行双向劫持。

发布时间： 2008年9月12日

更新：
整合Httphijack 的功能并大大提高效率；
增加上行劫持方式 即可用于服务器网络；

出处:网管联盟

cookies欺骗，就是在只对用户做cookies验证的系统中，通过修改cookies的内容来得到相应的用户权限登录。
那么什么是cookies呢，我这里给大家一个专业的解释，cookies是一个储存于浏览器目录中的文本文件，记录你访问一个特定站点的信息，且只能被创建这个cookies的站点读回，约由255个字符组成，仅占4kb硬盘空间。

来源：cncert
首款基于mac+port理论的hack工具。
交换环境下无arp欺骗的会话复制软件
利用mac+port欺骗方式实现sniffer．

作者：小金
错误引导——DNS欺骗

临近过年，一辆长途客车满载着归家的旅人们在高速公路上行驶着，此时已是深夜，旅客们多半都已进入梦乡。司机发现前面不远处

PST：云舒
2007-11-04
http://www.ph4nt0m.org/
http://www.icylife.net/