OWASP top 10的安全威胁中的CrossSite Scripting(跨站脚本攻击),允许攻击者通过浏览器往网站注入恶意脚本。这种漏洞经常出现在web应用中需要用户输入的地方,如果网站有XSS漏洞,攻击者就可以通过这种漏洞向浏览网站的用户发送恶意脚本,同时也可以利用该漏洞偷取sessioni...
分类:
其他好文 时间:
2015-10-22 19:22:55
阅读次数:
196
使用互联网的人越多,产生问题就越多,安全问题日益重要。当然对互联网安全方面的要求就会越来越高。虽然没有接触过网站安全方面统计数据,不过对于安全专家,看互联网上网站,可能会发现到处是漏洞。个人猜测存在安全漏洞的网站应该大把大把的。像CSRF、XSS攻击也会越来越被重视。相信从事安全方面工作未来待遇也会...
分类:
其他好文 时间:
2015-10-22 12:01:59
阅读次数:
141
到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍。尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现。我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程度。事实上,HTML5 早已制定了一套浏览器 XSS 解决方案 ——Content Security ...
分类:
其他好文 时间:
2015-10-21 17:24:59
阅读次数:
229
例如,我们的属性钩子只考虑了 setAttribute,却忽视还有类似的 setAttributeNode。尽管从来不用这方法,但并不意味人家不能使用。例如,创建元素通常都是 createElement,事实上 createElementNS 同样也可以。甚至还可以利用现成的元素 cloneNode...
分类:
其他好文 时间:
2015-10-21 17:15:47
阅读次数:
269
昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了:静态模块:使用 MutationObserver 扫描。动态模块:通过 API 钩子来拦截路径属性。提到钩子程序,大家会联想到传统应用程序里的 API Hook,以及各种外挂木马。当然,未必是系统函数,任...
分类:
其他好文 时间:
2015-10-21 17:10:51
阅读次数:
293
(一)软件测试环境以及搭建 测试环境:本地 XAMPP 1.7.1 测试软件:PHP168整站v5.0 软件下载地址 http://down2.php168.com/v2008.rar PHP.ini 配置: magic_quotes_gpc Off(On或者Off对持久型XSS并无没影响)...
分类:
其他好文 时间:
2015-10-21 17:09:45
阅读次数:
269
这段代码来自BlackHat DC 2011((黑帽安全大会,全世界最大两个黑客大会之一,另一个是Defcon)中的一个叫Ryan Barnett黑客做的XSS Street-Fight!的演讲(XSS是Web上比较经典的跨站式攻击,操作起来也有些复杂),一共69页,基本上都是一些比较枯燥的Ja.....
分类:
编程语言 时间:
2015-10-16 21:58:04
阅读次数:
210
1、onmouseenter:当鼠标进入选区执行代码1234562、onmouseleave:当鼠标离开选区执行代码1234563、onmousewheel:当鼠标在选区滚轮时执行代码1234564、onscroll:拖动滚动条执行代码123456 5、onfocusin:当获得焦...
分类:
其他好文 时间:
2015-10-16 18:19:57
阅读次数:
1994
发现一号店首页曝出XSS漏洞,在IE8,IE9,IE10上均有此漏洞
1.进入一号店首页:
http://www.yhd.com
2.搜索第一个字符串或者第二个字符串...
分类:
其他好文 时间:
2015-10-13 09:14:37
阅读次数:
193
在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能。总共提供了以下几个方法:1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击' ' or 1=1 ' 'StringBuf...
分类:
其他好文 时间:
2015-09-25 13:17:21
阅读次数:
268
