一、标题:关于Cookie安全性设置的那些事副标:httponly属性和secure属性解析二、引言经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下...2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读这篇文章:js于coo...
分类:
其他好文 时间:
2014-12-04 19:46:01
阅读次数:
211
XSS攻击及防御:http://blog.csdn.net/ghsau/article/details/17027893 Web攻防系列教程之跨站脚本攻击和防范技巧详解:http://www.rising.com.cn/newsletter/news/2012-04-25/11387.html Web安全测试之XSS:htt...
分类:
其他好文 时间:
2014-12-02 16:43:47
阅读次数:
169
版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明:可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。使用方法:将waf.php传到要包含的文件的目录在页面中加入防护,有两种做法,根据情况二选一即可:a).在所需要防护的页面加入代码就可以做到页面防注入、跨站复制代...
分类:
其他好文 时间:
2014-11-28 15:46:06
阅读次数:
151
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你.....
分类:
Web程序 时间:
2014-11-27 23:19:11
阅读次数:
183
最近处理了公司外网项目的两个安全漏洞,很常见,也很危险。
一、反射型跨站脚本漏洞
漏洞风险:
可以在嵌入攻击脚本,一旦在用户浏览器中加载页面,就会执行此脚本。可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。
举例说明:
通过程序参数输出传递的参数到HTML页面,则打开下面的网址将会返回一个消息提示:
...
分类:
Web程序 时间:
2014-11-25 23:44:31
阅读次数:
270
恶意网站针对用户可能登陆的某个站点实施跨站点攻击,在用户不知情情况下,让用户做了某些非本意的操作。一般情况,服务端对每个请求除了验证session,还应对除特殊几个请求外的其它请求都验证请求中唯一标识。一般使用服务端返回的jsessionId放在请求中。这个jsessionId存在于客户端浏览器的内...
分类:
Web程序 时间:
2014-11-21 23:09:09
阅读次数:
270
一、背景知识1、什么是XSS攻击?XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,...
分类:
其他好文 时间:
2014-11-20 11:41:27
阅读次数:
203
主要是因为web程序对输入输出过滤不足导致的。攻击者利用xss漏洞把恶意脚本代码(HTML+Javascript)注入到网页中,当用户浏览这些网页时,就会执行恶意代码,对受害者进行攻击,例如盗取Cookie,会话劫持,钓鱼欺骗等各种攻击。2、xss的危害Cookie盗取只要有记住密码功能,盗取coo...
分类:
其他好文 时间:
2014-11-19 00:26:35
阅读次数:
304
跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
分类:
其他好文 时间:
2014-11-18 23:17:15
阅读次数:
174
什么是WebGoat?引用一下OWASP官方介绍:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏..
分类:
Web程序 时间:
2014-11-12 18:07:19
阅读次数:
215
