ctf中xss题目常常需要一个管理员小机器点击用户点击的url 之前没有接触过,刚好最近又有这个需要,所以这次尝试写写小机器人的写法 环境准备 首先需要selenium这个python的库 pip install selenium==2.48.0 它的作用是用来webdriver接口的,简而言之是用 ...
分类:
其他好文 时间:
2020-06-13 19:16:05
阅读次数:
58
模板语法: 插值表达式 指令 事件绑定 属性绑定 样式绑定 分支循环结构 1. 插值表达式 使用{{ }}的形式将数据显示在页面中 <div>{{msg}}</div> 2. 指令 ① 什么是指令? 指令的本质就是自定义属性 指令的格式:以v-开始(比如: v-cloak) ② v-cloak指令用 ...
分类:
其他好文 时间:
2020-06-11 21:50:03
阅读次数:
64
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or ...
分类:
数据库 时间:
2020-06-11 19:49:52
阅读次数:
131
#XSS-lab简单总结 1. 2. 先闭合标签 3. 闭合引号,绕过html实体化,避免<>的出现。 payload: ' onclick='alert(1)' 单引号闭合 4.$str2=str_replace(">","",$str); 将<>替换为空,可以用上面的方式 5. $str2=st ...
分类:
其他好文 时间:
2020-06-11 13:52:16
阅读次数:
122
一、先来个简介 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL ...
分类:
编程语言 时间:
2020-06-09 16:53:01
阅读次数:
80
Debian安装sqli-labs靶机 有的小伙伴需要打sql注入的靶机,sqli-labs这个靶机十分的厉害,可是sql靶机不比xss靶机需要连接数据库。其实这在windows系统下面比较简单直接下载phpstudy软件直接进行傻瓜式的点击鼠标就行了,然而安装linux为主系统的用户就比较烦恼,其 ...
分类:
数据库 时间:
2020-06-08 14:49:12
阅读次数:
103
####定义 XSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和JS脚本)注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击 ...
分类:
其他好文 时间:
2020-06-03 00:24:06
阅读次数:
237
1,cover-image用法 覆盖在原生组件之上的图片视图。可覆盖的原生组件同cover-view,支持嵌套在cover-view里 2,cover-view用法 覆盖在原生组件之上的文本视图。 可覆盖的原生组件包括 map、video、canvas、camera、live-player、live ...
分类:
微信 时间:
2020-06-02 10:59:43
阅读次数:
98
##什么是 CSRF 攻击,如何避免? 答: CSRF是跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作, ...
分类:
其他好文 时间:
2020-06-02 09:20:26
阅读次数:
71
##什么是 XSS 攻击,如何避免? 答: 概念:XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种,它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 目的:想办法获取目标攻击网站的cookie,因为有了cookie相当于有了s ...
分类:
其他好文 时间:
2020-06-01 16:53:35
阅读次数:
73
