网站的信息安全越来越重要,结合自己1年多的互联网金融方面的安全防护做些总结。后续希望研究并运用:1、加密算法2、DDOS的防护技巧3、跨站点请求伪造4、XSS攻击5、文件上传漏洞6、信息垃圾过滤网站已持续运作1年半有余,从最初的零星访问到1天近w的pv量,还有各种的ddos攻击,让原本不太富裕的主机...
分类:
其他好文 时间:
2015-02-03 21:20:24
阅读次数:
189
Writer:BYSocket(泥沙砖瓦浆木匠) 微博:BYSocket 豆瓣:BYSocket Reprint it anywhere u want. 文章Points: ? 1. 认识XSS ? 2. XSS攻击 ? 3. XSS防御(重点) ?? 一、认识XSS先 ? 先说个故事吧,在上一篇...
分类:
Web程序 时间:
2015-01-31 23:24:22
阅读次数:
491
Writer:BYSocket(泥沙砖瓦浆木匠)
微博:BYSocket豆瓣:BYSocket
Reprint it anywhere u want.
文章Points:
1. 认识XSS
2. XSS攻击
3. XSS防御(重点)
一、认识XSS先
先说个故事吧,在上一篇,我还想说这个案例。其实什么叫攻击,很简单。获取攻击者...
分类:
Web程序 时间:
2015-01-31 23:19:50
阅读次数:
269
Writer:BYSocket(泥沙砖瓦浆木匠)微博:BYSocket豆瓣:BYSocketReprint it anywhere u want.文章Points: 1. 认识XSS 2. XSS攻击 3. XSS防御(重点)一、认识XSS先 先说个故事吧,在上一篇,我还想说这个案例。其实什么叫攻击...
分类:
Web程序 时间:
2015-01-31 23:10:41
阅读次数:
255
HTML无害化和Sanitize模块一.ng-bind-html、ng-bind-html-unsafe AngularJS非常注重安全方面的问题,它会尽一切可能把大多数攻击手段最小化。其中一个攻击手段是向你的web页面里注入不安全的HTML,然后利用它触发跨站攻击或者注入攻击。 考虑这...
分类:
Web程序 时间:
2015-01-30 15:00:27
阅读次数:
362
从客户端(Content="这是测试这...")中检测到有潜在危险的Request.Form值。说明:请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将httpRuntime配置节中的...
分类:
其他好文 时间:
2015-01-29 19:27:48
阅读次数:
175
Cross-Site Script(跨站脚本)XSS 整理于《浅析XSS(Cross Site Script)漏洞原理》了解XSS的触发条件就先得从HTML(超文本标记语言)开始,我们浏览的网页全部都是基于超文本标记语言创建的,如显示一个超链接: IT168安全频道 而XSS的原理也就是往HTML中...
分类:
其他好文 时间:
2015-01-26 15:02:07
阅读次数:
163
一.CSRF是什么?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取...
分类:
其他好文 时间:
2015-01-26 13:42:40
阅读次数:
171
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用...
分类:
其他好文 时间:
2015-01-22 19:35:52
阅读次数:
262
一、防止跨站脚本攻击(XSS)①:@Html.Encode("<script>alert(‘123‘)</script>")编码后:<script>alert('123')</script>②:@Html.AttributeEncode("<script>alert(‘123‘)</script>")编码后:<sc..
分类:
Web程序 时间:
2015-01-20 12:10:33
阅读次数:
236
