xss定义: xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 XSS 全称“跨站脚本”,是注入攻击的一种。其特点.....
分类:
其他好文 时间:
2014-11-11 18:42:41
阅读次数:
267
转载来自于:http://blog.csdn.net/cpytiger/article/details/8781457一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session ridi....
分类:
Web程序 时间:
2014-11-10 17:12:24
阅读次数:
594
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 ”> (7)formCharCode标签(计算器) (8)UTF-8...
分类:
其他好文 时间:
2014-11-09 17:53:55
阅读次数:
135
在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来...
分类:
Web程序 时间:
2014-11-07 16:35:42
阅读次数:
251
今天往MVC中加入了一个富文本编辑框,在提交信息的时候报了如下的错误:从客户端(Content="这是测试这...")中检测到有潜在危险的Request.Form值。说明:请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要...
分类:
Web程序 时间:
2014-11-06 09:18:13
阅读次数:
162
在实际的应用中,经常会遇到一些特殊的情况,比如需要新闻,天气预报,等等,但是作为个人站点或者实力小的站点 我们不可能有那么多的人力 物力 财力去做这些事情,怎么办呢?好在互联网是 资源共享的,我们可以利用程序 自动的把别的站点的页面抓取回来经过处理后被我们所利用。用什么呢,那个战友给的是不行的,其实...
分类:
其他好文 时间:
2014-11-05 12:35:18
阅读次数:
178
跨站脚本攻击(CrossSiteScripting)指的是恶意攻击者往Web页面里插入恶意脚本代码,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。为了与层叠样式表(CascadingStyleSheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。为了更..
分类:
其他好文 时间:
2014-11-05 09:20:11
阅读次数:
198
摘要:XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很 难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。XSS跨站脚本攻击一直都被认为是客...
分类:
Web程序 时间:
2014-11-04 17:13:06
阅读次数:
200
漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时发现,IE8的Xss Filter存在漏洞,导...
分类:
其他好文 时间:
2014-11-01 13:26:51
阅读次数:
175
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你能够把...
分类:
其他好文 时间:
2014-10-31 20:31:23
阅读次数:
203
