1.1 跨站脚本测试1.1.1 GET方式跨站脚本测试编号SEC_Web_XSS_01测试用例名称GET方式跨站脚本测试测试目的由于跨站脚本会导致会话被劫持、敏感信息泄漏、账户被盗,严重时甚至造成数据修改、删除,从而导致业务中断,因此需检测跨站脚本是否存在用例级别1测试条件1、 Web业务运行正常2...
分类:
Web程序 时间:
2014-08-08 12:36:05
阅读次数:
255
有一个已经编译的asp.net 1.1的网站。为了改进录入的效率,改为由barcode扫描枪来替代手动。由于在扫描枪添加其它信息。原录入窗口已经无法适应。另外程序虽然跑的是存储过程,但交易的transaction是写在程序中。Insus.NET只好使用iframe来传入数据,并能执行原网页的铵钮事件...
分类:
其他好文 时间:
2014-08-07 12:24:39
阅读次数:
185
XXX之前有提过multipart请求绕过各种WAF方式:360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一,貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了,不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文件,图片、压缩包什么的都行。构建如下HTML表单:...
分类:
其他好文 时间:
2014-08-01 15:41:51
阅读次数:
203
安全性—固若金汤 ? Xss跨站点脚本攻击cross site script.防止手段主要有两种:消毒; httponly? 注入攻击Sql注入和os注入.Sql注入防止手段: 消毒 参数绑定(预处理)? Csrf攻击cross site request forgery跨站点请求伪造 。防御手段主要是识别请求者身份。主要有;表单token; 验证码; referrer ch...
分类:
其他好文 时间:
2014-07-31 16:58:47
阅读次数:
161
1、什么是XSSXSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,由于其被动且不好利用,所以很多人常呼略其危...
分类:
其他好文 时间:
2014-07-27 21:56:49
阅读次数:
209
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你能够把...
分类:
其他好文 时间:
2014-07-24 12:23:05
阅读次数:
353
简介:CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSR...
分类:
其他好文 时间:
2014-07-23 14:54:56
阅读次数:
246
在Form中添加@Html.AntiForgeryToken();在后台的Action中增加[ValidateAntiForgeryToken]这个方法还可以添加自定义的参数@Html.AntiForgeryToken("SaltValue");后台的Action中,必需指名Token的值才允许正常...
分类:
Web程序 时间:
2014-07-17 11:13:31
阅读次数:
192
消除不受信任的HTML (来防止XSS攻击)在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。使用jso...
分类:
Web程序 时间:
2014-07-16 17:48:54
阅读次数:
312
