XSS Cross Site Scripting 跨站脚本 Scripting 能干啥? 获取页面数据 偷取网站任意数据资料 获取 cookies 偷取用户资料 劫持前端逻辑 偷取用户密码和登录状态 发送请求 欺骗用户 .... Xss 攻击分类 反射性 url 参数直接注入 存储性 存储到 DB ...
分类:
其他好文 时间:
2020-01-31 14:24:21
阅读次数:
80
点击劫持 用户亲手操作 盗取用户资金(转账,消费) 用户不知情 获取用户敏感信息 ....if 利用 iframe 内嵌页面,并将原页面透明度设置为零,这样实现点击劫持 点击劫持防御 JavaScript 禁止内嵌 在内嵌页面中 和`window`不等 但这种方式有时并不完全有效,因为攻击者是可以禁 ...
分类:
其他好文 时间:
2020-01-30 23:10:43
阅读次数:
72
CSRF Cross Site Request Forgy 跨站请求伪造 需要条件 用户登录 A 网站 A 网站确认身份 B 网站页面向 A 网站发起请求(带 A 网站身份) CRSF 攻击危害 利用用户登录态 盗取用户资金(转账,消费) 用户不知情 冒充用户发帖背锅 完成业务请求 损坏网站名誉 . ...
分类:
其他好文 时间:
2020-01-30 21:19:11
阅读次数:
108
ARP主动确认配置命令 ARP的主动确认功能主要应用于网关设备,防止攻击者仿冒用户欺骗网关设备。通过strict参数开启或关闭主动确认的严格模式。开启严格模式后,ARP主动确认功能执行更严格的检查,新建ARP表项前,需要本设备先对其IP地址发起ARP解析,解析成功后才能触发正常的主动确认流程,在主动 ...
分类:
其他好文 时间:
2020-01-29 14:08:29
阅读次数:
86
0x00 知识点 SSTI模板注入: 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server Side Template Injection) 0x01模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业 ...
分类:
其他好文 时间:
2020-01-28 21:23:22
阅读次数:
180
XSS 存在的三个条件 网站应用程序必须接受用户的输入信息 用户的输入会被网站用来创建动态内容 用户的输入验证不充分 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击 输入过滤 使用黑名单,从用户的输入中删除 <scrip ...
分类:
Web程序 时间:
2020-01-27 15:25:37
阅读次数:
83
错误的CSRF防御方法 (1)只接受 POST 请求 攻击者不能基于链接简单地攻击( IMG ),但是可以使用脚本创建隐藏的 POST 请求 (2)转账需要多步 e.g. 第一个请求转多少个coin,第二个请求转给谁 CSRF 攻击可以按顺序执行每个步骤 (3)检查 Referer Referer ...
分类:
Web程序 时间:
2020-01-27 12:18:00
阅读次数:
93
解压功能验证正常,zip炸弹防御部分还没验证完,后续验证后再确认 private static final int MAX_COUNT = 10000; // 注意,long类型后面要加L private static final long MAX_SIZE = 4L * 1024 * 1024 * ...
分类:
其他好文 时间:
2020-01-22 01:16:37
阅读次数:
346
网络安全 前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的 介绍一下常见的安全问题,解决方式,和小的Demo,希望大家喜欢 网络安全汇总 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 在我看来,前端可以了解并且防御前4个 ...
分类:
其他好文 时间:
2020-01-20 09:59:29
阅读次数:
419
题意:你起初有一支军队,有$k$个士兵,现在有$n$座城堡,你若想占领第$i$座城堡,至少得有$a[i]$个士兵才能占领$($占领后士兵不会减少$)$,占领了第$i$座城堡后,你将得到$b[i]$个士兵,然后你有两种方式防御你占领的城堡: 在你占领第$i$个城堡后留下一个士兵防御第$i$个城堡 有$ ...
分类:
其他好文 时间:
2020-01-15 19:45:11
阅读次数:
66
