想要开发出一套高质量的小程序,运用框架,组件库是省时省力省心必不可少一部分,随着小程序日渐火爆,各种不同类型的小程序也渐渐更新,其中不乏一些优秀好用的框架/组件库。1:WeUI小程序–使用教程https://weui.io/官方介绍:WeUI是一套同微信原生视觉体验一致的基础样式库,由微信官方设计团队为微信内网页和微信小程序量身设计,令用户的使用感知更加统一。小程序开发中最常用到的一款框架,受广大
分类:
微信 时间:
2020-05-07 09:22:24
阅读次数:
197
一、认证与授权1、认证 即登录功能正常 2、权限 每个用户拥有正确的权限 3、避免未经授权的页面可以直接访问,通过认证和权限(Session),对每个页面有一个判断。例如在知道一个页面的绝对url地址后,该页面有个session变量叫login-in,如果login-in为False时访问该页面跳转 ...
分类:
其他好文 时间:
2020-05-04 19:10:30
阅读次数:
110
xss tour闯关 level 1 第一关都很简单,没有任何过滤。直接在url中输入。因为你可以查看页面源代码,他是get请求。 level 2 第二关有一个输入框,尝试写入东西并了解写的东西在前端被放置的地方,查看页面源代码。发现输入的内容会被h2标签包裹,但是他将给转义了。但是还有一个inpu ...
分类:
其他好文 时间:
2020-05-03 17:00:34
阅读次数:
59
自动化生成poc burpsuite CSRF使用方法 POST Burpsuite生成poc js代码提交 JSON劫持攻击 CSRF蠕虫 flash CSRF csrf+xss组合拳 CSRF绕过referer 1.Refere为空条件下 利用ftp://,http://,https://,fi ...
分类:
其他好文 时间:
2020-05-03 16:57:24
阅读次数:
78
xss绕过姿势总结 1. 见框就插,查看源代码找寻漏洞点 1. 闭合注入点标签,尝试创建标签注入 2. 过滤: 1. 被转义,使用事件,常用事件为: onerror、onload、onclik、onmouseover、oninput等 2. 过滤script和事件,使用伪协议a标签 3. 大小写 4 ...
分类:
其他好文 时间:
2020-05-03 16:56:40
阅读次数:
61
XSS跨站脚本(Cross-site scripting) XSS成因概括 : XSS其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库,最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码, 数据流程如下:攻击者的Html输入—>web程序—>进入 ...
分类:
其他好文 时间:
2020-05-03 12:46:00
阅读次数:
77
概述 xss分类 反射型 :url里面 存储型:存到某种介质里面;留言板 dom型:与反射型xss类似.由js插入到页面 修复: HTML 实体编码 使用白名单 根据业务场景对症下药 黑名单 存储型xss 原理 实战 能输入的地方:发帖,评论,个人签名,文章标题 寻找思路:用户能够输入的地方都有可能 ...
分类:
其他好文 时间:
2020-05-02 21:18:23
阅读次数:
104
"http://test.ctf8.com/" level1 借助window.alert()函数完成任务 level2 输入框输入test后 Ctrl+g搜索源码中的test,发现有两处 分别构造以下两个payload 第二个奏效 level3 同样的方式 构造payload为 发现 源代码用 处 ...
分类:
其他好文 时间:
2020-05-02 20:47:57
阅读次数:
155
网站安全 包括常见的xss攻击、CSRF攻击等等 1 sql注入:窃取数据库内容 2 XSS攻击:窃取前端的cookie内容 3 密码加密:保障用户信息安全 "前端安全系列(一):如何防止XSS攻击?" "前端安全系列(二):如何防止CSRF攻击?" 1 sql注入攻击: 比如登陆接口,执行的命令是 ...
分类:
Web程序 时间:
2020-05-01 14:54:02
阅读次数:
84
什么是XSS? 为了与层叠样式表css区分,将跨站脚本简写为XSS。 XSS攻击原理 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在w ...
分类:
其他好文 时间:
2020-04-30 23:19:20
阅读次数:
107
