Tornado Web服务器从设计之初就在安全方面有了很多考虑,使其能够更容易地防范那些常见的漏洞。安全 cookies 防止用户的本地状态被其浏览器中的恶意代码暗中修改。此外,浏览器cookies 可以与 HTTP 请求参数值作比较来防范跨站请求伪造攻击。Cookie 漏洞:许多网站使用浏览器 c...
分类:
其他好文 时间:
2014-09-06 17:15:33
阅读次数:
334
关于软件系统漏洞的问题,其中最常见的一个是跨站脚本漏洞,网上有很多相关的资料。
突发奇想,怎么能将写好的攻击代码转为Unicode编码后,进行攻击呢?明文攻击很容易被拦截,但是转义后则成功的概率比较大。
但是网上的资料,都是介绍攻击的原理,很少有说怎么将攻击代码转为Unicode编码,以下是同事写的一个小方法,供大家写拦截功能时,测试用。
不建议使用该代码做非法勾当!后果自负。
packa...
分类:
其他好文 时间:
2014-09-04 15:04:09
阅读次数:
142
跨站点脚本是开发过程中经常需要考虑的安全问题。此种情形发生在允许用户直接输入html、javascript脚本时。在下述的website中,我们并没有过滤输入的内容,导致一些安全漏洞。
如果在输入框中输入由包围的内容,当页面被加载的时候,脚本将被执行,每次均将在前端展示。例如,如果输入alert(’hello’)并保存,每次浏览此页面时,都将看到alert的窗口。
嵌入页面的javas...
分类:
其他好文 时间:
2014-09-03 11:22:56
阅读次数:
307
XSS基础篇 介绍(内容写在PPT里了,博客园就不做太详细的备份)这份草稿这样了吧,偷懒了。1 XSS (Cross Site Script) 跨站脚本攻击,简称“CSS”?No,CSS缩写已经被层叠样式表占用,所以在被称为“XSS”。2 神马是跨站脚本攻击(XSS)?指黑客通过“HTML注入”修改...
分类:
其他好文 时间:
2014-08-24 12:53:42
阅读次数:
208
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息
分类:
其他好文 时间:
2014-08-19 16:29:24
阅读次数:
177
OpenID解决跨站点的认证问题,OAuth解决跨站点的授权问题。认证和授权是密不可分的。而OpenID和OAuth这两套协议出自两个不同的组织,协议上有相似和重合的之处,所以想将二者整合有些难度。好在OpenID Connect作为OpenID的下一版本,在OAuth 2.0的协议基础上进行扩展,...
分类:
Web程序 时间:
2014-08-17 22:33:23
阅读次数:
948
sharepoint提供的spfile相关方法中只能通过站点内复制移动文件,站点间复制文件需要用到将文件转换为字节流数据。以下提供函数进行进行站点间复制参考。 1 public static void MovetofileAcrossWeb(string sourcewebUrl, string ....
分类:
其他好文 时间:
2014-08-15 12:03:38
阅读次数:
179
引起原因:个人认为 csrf 在 Ajax 盛行的今天来说,倒是方便了,因为它可以在你不知道的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作,比如你是管理员可以添加其它的用户到管理组,但是如果有人构造了添加管理员的链接被管理员点后也...
分类:
其他好文 时间:
2014-08-13 10:25:25
阅读次数:
241
//get拦截规则$getfilter = "\\||\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\\(\d+?|sleep\s*?\\([\d\.]+?\\)|load_file\s*?\\()|]*?\\bon([a-...
分类:
Web程序 时间:
2014-08-10 12:53:40
阅读次数:
235
1)普通的XSS JavaScript注入
(2)IMG标签XSS使用JavaScript命令
(3)IMG标签无分号无引号
(4)IMG标签大小写不敏感
(5)HTML编码(必须有分号)
(6)修正缺陷IMG标签
alert(“XSS”)”>
(7)formCharCode标签(计算器)
(8)UTF...
分类:
其他好文 时间:
2014-08-09 04:57:37
阅读次数:
330
