最近了解和调研了一些 web 安全的相关问题,其实 web 安全问题一直在我们的身边,像 XSS, CSRF, 传输中的安全问题等。并且他们并没有确定的,使我们没有后顾之忧的解决方法,我们只有不断的累积,才能使我们的应用更加安全。 ...
分类:
Web程序 时间:
2018-11-18 21:04:58
阅读次数:
199
from bs4 import BeautifulSoup @login_required def add_article(request): """ 后台管理的添加书籍视图函数 :param request: :return: """ if request.method == "POST": ti... ...
分类:
其他好文 时间:
2018-11-16 15:04:31
阅读次数:
192
xss又叫css,为了与前端的css区别,所以叫xss,即跨站脚本攻击。 XSS原理解析 XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。 javascript可以获取用户的cookie、改变网页内容、URL跳 ...
分类:
其他好文 时间:
2018-11-02 00:19:09
阅读次数:
266
https://www.cnblogs.com/phpstudy2015-6/p/6767032.html 阅读目录 1、简介 2、原因解析 3、XSS攻击分类 3.1、反射型xss攻击 3.2、存贮型xss攻击 3.3、DOMBasedXSS(基于dom的跨站点脚本攻击) 4、XSS攻击实例分析 ...
分类:
其他好文 时间:
2018-10-22 17:46:05
阅读次数:
217
主要是对比MySQL来说明 优点 不存在sql注入:MySQL的是sql注入是一个很严重的缺点,虽然可以使用参数绑定和预处理以及特殊字符转义来处理。但是MongoDB根本不存在这个问题。不过xss攻击还是需要防范的。 不需要提前创建表:在MySQL中如果想要写入一条数据的话必须要先创建好一张表然后才 ...
分类:
数据库 时间:
2018-10-20 21:04:37
阅读次数:
195
当用户提交评论的时候,比如如下评论内容 这样当现实评论的时候会先弹出111弹框,再显示评论。这就是xss攻击。 所以,我们需要对评论内容进行检测,对恶意代码进行删除,不让不存到数据库。 如下解决方案: ...
分类:
其他好文 时间:
2018-10-17 00:23:15
阅读次数:
185
一、转义或者转换的目的 1. 转义或者转换字符串防止sql注入 2. 转义或者转换字符防止html非过滤引起页面布局变化 3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式 二、函数 1. addslashes($str); 此函数转义预定义的字符:单引号 ...
分类:
数据库 时间:
2018-10-12 23:39:41
阅读次数:
214
XSS 简介 跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。 XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过 ...
分类:
Web程序 时间:
2018-10-02 17:59:43
阅读次数:
180
什么是 XSS Payload 上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理,并举了一些浅显的例子,接下来,我就阐述什么叫做 以及从攻击者的角度来初探 XSS 攻击的威力。 在黑客 XSS 攻击成功之后,攻击者能够对用户当前浏览的页面植入各种恶意脚本,通过恶意脚本来控制浏览器,这些脚本 ...
分类:
Web程序 时间:
2018-09-13 01:20:06
阅读次数:
211
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
Web程序 时间:
2018-09-10 15:40:38
阅读次数:
214
