许多Web应用程序提供的功能将数据从其他Web服务器,由于种种原因。下载XML提要,从远程服务器,Web应用程序可以使用用户指定的URL,获取图像,此功能可能会被滥用,使制作的查询使用易受攻击的Web应用程序作为代理运行在远程攻击其他服务的基于文本的文件等。 /本地服务器。通过这种滥用而产生的功能被...
分类:
其他好文 时间:
2014-09-18 09:44:53
阅读次数:
243
XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。XSScrapy的XSS漏洞攻击测试向量将会覆盖Http头中的Referer字段User-Agent字段Cookie表单(包括隐藏表单)URL参数RUL末尾,如www.example.co...
分类:
其他好文 时间:
2014-09-17 11:45:42
阅读次数:
204
1,Web 应用十大安全隐患
1) SQL 注入 2) 跨站脚本攻击XSS (Cross Site Scripting) 3) 遭破坏的认证和会话管理 4) 不安全的对象直接引用 5) 伪造跨站请求(CSRF)
6) 安全误配置(Security Misconfiguration) 7) 限制远程访问失败(Failure to Restrict URL Access) 8) 未验证的...
分类:
其他好文 时间:
2014-09-16 19:04:20
阅读次数:
274
1、xss是什么? XSS攻击:跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。 在跨站点脚本攻击中,恶意代码在受影响用户的浏览器端执行,并对用户的影响。2、xss可以干嘛? 弹框,很多人都觉得这个很好玩(仅仅是为了验证XSS攻击的存在); 盗...
分类:
其他好文 时间:
2014-09-16 15:53:20
阅读次数:
232
'>='>%3Cscript%3Ealert('XSS')%3C/script%3E%0a%0a.jsp%22%3cscript%3ealert(%22xss%22)%3c/script%3e%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/p...
分类:
其他好文 时间:
2014-09-15 17:32:30
阅读次数:
278
我们有两个网站一个是main.xxx.cn 一个是 preveiw.xxx.cnmain.xxx.cn 页面需要加载preview.xxx.cn的内容。项目里面出现了两种的加载preview.xxx.cn内容的方式。一种是iframe另一个是ajax。1.iframe加载的要求 两个页面都把 doc...
分类:
其他好文 时间:
2014-09-15 17:18:59
阅读次数:
181
Tornado Web服务器概览,tornado教程,tornado开发教程概览Overview下载和安装模块索引主要模块底层模块Tornado 攻略请求处理程序和请求参数重写 RequestHandler 的方法函数重定向(redirect)模板Cookie 和安全 Cookie用户认证跨站伪造请...
分类:
其他好文 时间:
2014-09-14 22:04:47
阅读次数:
357
第一类:第二类:用STYLE标签引用其他网站上的css文件css文件里包含跨站程序body{background-image:url('javascript:alert();');}第三类:第四类:鼠标进入本区域执行Javascript鼠标离开本区域执行Javascript鼠标在选区滚轮时执行J.....
分类:
编程语言 时间:
2014-09-11 17:00:42
阅读次数:
234
最近在做项目过程中遇到客户端访问不同域的服务时,IE10以下的版本不会发起http请求(google和火狐内置支持跨域)。这是为了对跨站点请求伪造攻击采取的安全措施。如果我们需要跨域访问,那该怎么办那?不用怕IE还是给我们提供了一个解决方法。在IE8以后,它提供了一个XDomainRequest对象...
分类:
其他好文 时间:
2014-09-10 22:24:41
阅读次数:
212
0×01 前言:《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下...
分类:
其他好文 时间:
2014-09-09 21:28:09
阅读次数:
263
