本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修...
分类:
Web程序 时间:
2014-07-14 09:51:30
阅读次数:
257
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者...
分类:
Web程序 时间:
2014-07-14 09:29:12
阅读次数:
287
刚才看到乌云有人发帖问:网上流传的修改来电的软件实现原理是什么?关于这个东西,我还真了解一点(本人涉猎甚广,啥都喜欢研究一番)……其实很多年前就有此类技术分析文档,几年前我曾看过一篇技术分析文章,详细讲了这个实现原理,年代久远,尼玛文章找不到了,但是大概内容还记得点,结合搜索,整理了点东西出来。估计...
分类:
其他好文 时间:
2014-07-08 22:08:30
阅读次数:
274
php防止伪造的数据从URL提交方法。针对伪造的数据从URL提交的情况,首先是一个检查前一页来源的如下代码:这个方法只能防止手动在浏览栏上输入的URL。事实上只要在服务器上构造出一个指向该URL的超链接(www.jbxue.com)比如在发贴时加入超链,再点击,这个Check就完全不起作用了。目前觉...
分类:
Web程序 时间:
2014-07-07 21:51:51
阅读次数:
268
方法一:原理和防盗链一样,都是检查信息来源的http 头.如果不是本站域名就阻止.(当然,这不是绝对的,因为referer是可以伪造的)。处理远程表单提交更好的方式是,根据一个惟一的字符串或时间戳生成一个令牌,并将这个令牌放在会话变量和表单中。提交表单之后,检查两个令牌是否匹配。如果不匹配,就知道有...
分类:
Web程序 时间:
2014-07-06 22:59:51
阅读次数:
289
先说一点:其实不算是突破ip限制,因为事实上,这个限制是在服务器端的,客户端在牛逼,也突破不了..只是可以一直刷多次票罢了
一个朋友突然发了一个网站,让我帮她投投票..我这人一项比较好说话,就帮她投了.顺便分析了这个网站,发现这个网站的投票系统有ip限制,但是投票是一个ajax请求.那么办法就出来了.
很多投票PC网站都是依靠限制ip,来限制投票人数.那么我用curl伪造IP,那么就可以轻易制...
分类:
Web程序 时间:
2014-07-05 23:59:01
阅读次数:
380
用 User Agent 判断移动设备---WebApp除了做成响应式设计以外,还可以给移动设备做一套UI,PC端再做一套UI,然后在前台进行判断进行相应的跳转。判断是否是移动设备一般根据浏览器的useragent进行判断,虽然可以伪造,但是用起来方便,和Chrome的设备模拟功能配合起来调试方便。...
分类:
移动开发 时间:
2014-07-01 12:17:30
阅读次数:
455
ARP欺骗的原理可简单的解释如下:假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。现在A希望能嗅探到B->C的数据,于是A就可以伪装成C对B做ARP欺骗--向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会...
分类:
其他好文 时间:
2014-06-27 19:38:27
阅读次数:
264
跨站脚本在媒体的帮助下,跨站脚本(XSS)成为了大家关注的焦点,当然它是绝对应当关注的。XSS 是 web 应用中最常见的安全隐患,许多流行的开放源代码的 PHP 应用程序受到 XSS 隐患的困扰。XSS 攻击发生在下面的情况下:对于可获得用户信任的特定站点。用户没有必要用很高的等级信任任何网站,但...
分类:
其他好文 时间:
2014-06-25 12:51:59
阅读次数:
202
在实现SSL中间人的时候,可以在启动程序前提前以手工的方式制作好证书,但有时候会显得麻烦。比较便利的做法是,实现证书的自动伪造流程,让SSL中间人主程序在需要的时候调用。本文主要描述自动伪造过程中要面对的问题,以及问题解决的方法。另外,在必要的地方,给出了关键的实现代码。...
分类:
其他好文 时间:
2014-06-01 15:00:50
阅读次数:
399
