转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这 ...
分类:
其他好文 时间:
2018-04-10 10:53:01
阅读次数:
141
当太阳的光辉逐渐被月亮遮蔽,世界失去了光明,大地迎来最黑暗的时刻。。。。在这样的时刻,人们却异常兴奋——我们能在有生之年看到500年一遇的世界奇观,那是多么幸福的事儿啊~~ 但网路上总有那么些网站,开始借着民众的好奇心,打着介绍日食的旗号,大肆传播病毒。小t不幸成为受害者之一。小t如此生气,他决定要 ...
分类:
其他好文 时间:
2018-03-25 11:59:54
阅读次数:
157
XSS分类及介绍 成效:js代码执行效果 范围:web页面客户端攻击 原理:输出问题 反射型跨站(非持续性),存储型跨站(持续性) 区别:攻击周期,存储方式(数据库) 例子1:某url存在xss漏洞,攻击者通过植入xss代码,让受害者访问触发,反射型跨站 例子2:某url下的留言本或评论区存在xss ...
分类:
其他好文 时间:
2018-03-24 00:52:13
阅读次数:
196
为什么要设计好目录结构? "设计项目目录结构",就和"代码编码风格"一样,属于个人风格问题。对于这种风格上的规范,一直都存在两种态度: 我是比较偏向于后者的,因为我是前一类同学思想行为下的直接受害者。我曾经维护过一个非常不好读的项目,其实现的逻辑并不复杂,但是却耗费了我非常长的时间去理解它想表达的意 ...
分类:
编程语言 时间:
2018-03-23 01:07:12
阅读次数:
207
攻击者IP:192.168.220.152 受害者IP:192.168.220.151 网关:192.168.220.2 修改DNS文件 在此处添加两条记录 “*”为所有域名,后面的IP地址为攻击者的IP地址 这样受害者所打开的网页都会变成打开攻击者的这个IP地址 开启apache服务 开启Ette ...
分类:
其他好文 时间:
2018-03-19 00:29:15
阅读次数:
630
由于程序员工作的性质,他们长期以来受到的所谓“黑客”式的“熏陶”,形成了一种行业性的心理疾病。患了这种病的人对于很多新入行的人,甚至一些外行人士造成了持续的伤害。慢慢的,这些不幸的受害者也形成了“条件反射”,进而成为了这个心理变态的系统的一部分,导致越来越多的人,越来越快的变成“怪胎”。这是一件可怕 ...
分类:
其他好文 时间:
2018-03-03 13:55:16
阅读次数:
180
CSRF本质是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 ...
分类:
Web程序 时间:
2018-02-24 22:00:05
阅读次数:
185
一、C&C通信 这里的C&C服务器指的是Command & Control Server--命令和控制服务器,说白了就是被控主机的遥控端。一般C&C节点分为两种,C&C Server 和 C&C Client。Server就是就是黑客手里的遥控器。Client就是被控制的电脑,也就是受害者。C&C通 ...
分类:
其他好文 时间:
2018-02-04 13:57:18
阅读次数:
217
软件目录结构规范_转自金角大王 为什么要设计好目录结构? "设计项目目录结构",就和"代码编码风格"一样,属于个人风格问题。对于这种风格上的规范,一直都存在两种态度: 我是比较偏向于后者的,因为我是前一类同学思想行为下的直接受害者。我曾经维护过一个非常不好读的项目,其实现的逻辑并不复杂,但是却耗费了 ...
分类:
编程语言 时间:
2018-01-27 18:55:38
阅读次数:
127
有这样一个场景:kali 内网虚拟机CentOS7.3 阿里云外网机本机win7 模拟受害者 11月份有爆出过Office的一个关于公式编辑器的漏洞(CVE-2017-11882),参考复现过程可以参考我的另一篇文章,通常为了验证漏洞,我们会在本地测试该漏洞是否确实可以利用。我们在虚拟机测试的环境局 ...
分类:
系统相关 时间:
2017-12-31 12:57:21
阅读次数:
190
