1.注入攻击 注入攻击包括系统命令注入,SQL注入,NoSQL注入,ORM注入等 1.1攻击原理 在编写SQL语句时,如果直接将用户传入的数据作为参数使用字符串拼接的方式插入到SQL查询中,那么攻击者可以通过注入其他语句来执行攻击操作,这些攻击操作包括可以通过SQL语句做的任何事:获取敏感数据、修改 ...
分类:
其他好文 时间:
2019-07-20 23:16:30
阅读次数:
115
一,什么是跨站请求伪造 通过技术手段欺骗用户访问一个已经登录/认证过的网站,并利用网站对用户的信任做操作(包含非网站认证者意愿操作)。 他不是通过CSRF攻击直接去的账户及密码,而是欺骗用户浏览器,让其以用户的名义运行操作 例子: 假如一家银行用以运行转账操作的URL地址如下: http://www ...
分类:
其他好文 时间:
2019-07-19 15:20:45
阅读次数:
104
一、引言 登录权限控制是很多系统具备的功能,实现这一功能的方式有很多,其中使用token是现在用的比较多的 好处:可以防止CSRF攻击 二、功能实现: 用户登录成功后,后台生成一个token并存在redis中,同时给此用户的token设置时限,返回一个token给调用者,同时自定义一个@AuthTo ...
分类:
编程语言 时间:
2019-07-06 19:32:50
阅读次数:
164
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CS ...
分类:
其他好文 时间:
2019-06-19 20:03:22
阅读次数:
108
首先做一个登录页,让用户输入用户名和密码进行登录,登录成功之后跳转的修改密码页面。在修改密码页面输入新密码,点击确认按钮完成密码修改。登录页需要一个模板文件login.html.修改密码页面也需要一个模板文件change_pwd.html.显示登录页的视图login,验证登录的视图login_che ...
分类:
其他好文 时间:
2019-06-10 13:27:33
阅读次数:
77
整理于《XSS跨站脚本攻击剖析与防御》—第6章 Flash在客户端提供了两个控制属性: allowScriptAccess属性和allowNetworking属性,其中AllowScriptAccess控制Flash与HTML页面的通信,如果设置不恰当会导致XSS;而AllowNetworking控 ...
分类:
Web程序 时间:
2019-05-27 16:29:20
阅读次数:
171
20165309 《网络对抗技术》实验九:Web安全基础 " 1.基础问题回答 " " (1)SQL注入攻击原理,如何防御。 " " (2)XSS攻击的原理,如何防御。 " " (3)CSRF攻击原理,如何防御。 " " 2.实践总结与体会 " " (1)遇到的问题与解决 " " (2)实验感受 " ...
分类:
Web程序 时间:
2019-05-25 14:35:14
阅读次数:
162
Exp9 Web安全基础 一、实践目标 SQL注入攻击 XSS攻击 CSRF攻击 二、实践过程 1.环境配置: 下好jar包然后放在根目录下 使用:java -jar *.jar就可以解压运行webgoat了! 2.使用webgoat: 打开Firefox,输入http://127.0.0.1:80 ...
分类:
Web程序 时间:
2019-05-24 21:04:36
阅读次数:
191
1.Csrf攻击概念: csrf攻击(Cross-site request forgery):跨站请求伪造; 2.Csrf攻击原理: 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站 ...
分类:
其他好文 时间:
2019-05-24 18:55:33
阅读次数:
92
[TOC] 实验目的及内容 目的: 理解常用网络攻击技术的基本原理 内容 1、SQL注入攻击 2、XSS攻击 3、CSRF攻击 实验过程记录 一、Webgoat安装 介绍 :WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行 ...
分类:
Web程序 时间:
2019-05-19 17:04:04
阅读次数:
198
