一:web.xml文件 <!--?解决xss漏洞?-->
??<filter>
????<filter-name>xssFilter</filter-name>
?????<filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>
??</filter>
...
分类:
其他好文 时间:
2015-05-22 11:49:09
阅读次数:
169
由于xss和csrf都是改变用户请求参数来达到恶意攻击的目的,所以,如果我们从参数改变这一点切入,就没有问题了,做法很简单:
将参数加密后传递,这样请求被拦截篡改的参数将不能被服务器解密,因而拒绝请求。...
分类:
其他好文 时间:
2015-05-21 19:37:58
阅读次数:
167
针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL inj...
分类:
Web程序 时间:
2015-05-20 23:57:46
阅读次数:
231
课堂上要求学生自由组队准备一个安全相关的主题讲解,于是会兴冲冲的找到学霸想抱大腿。最近应大腿的需求,决定要补充ppt一部分内容以掩盖我们打酱油的真面目,大胖这里是学霸的外号的意思是一个酱油的技术点太酱油,两个酱油的技术点拼起来就刁刁的叻!
前一篇酱油技术是
登陆会话劫持
还有一个酱油技术就是本文了。
也是醉了,后来确定的主题竟然是如何帮助同学查看室友空间,更醉的是,这种猥琐的事情要让我来做!...
分类:
其他好文 时间:
2015-05-19 10:44:53
阅读次数:
298
/** * PHP解决XSS(跨站脚本攻击)的调用函数 * PHP跨站脚本漏洞补丁,去除XSS(跨站脚本攻击)的函数,把以下代码保存在function.php文件中,在需要防御的页面中include * Enter description here ... * @param unknown_type...
分类:
数据库 时间:
2015-05-18 20:25:16
阅读次数:
201
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Scrip...
分类:
Web程序 时间:
2015-05-18 12:37:49
阅读次数:
270
dedecms /plus/feedback_ajax.php、/templets/feedback_main.htm、/templets/feedback_edit.htm XSS && SQL Injection Vul
分类:
数据库 时间:
2015-05-16 16:15:20
阅读次数:
168
从客户端(txt="节点下增加:web.config: Controller: [HttpPost] [ValidateInput(false)] public string CheckTxt() { } 解...
分类:
其他好文 时间:
2015-05-15 15:07:18
阅读次数:
101
《白帽子讲Web安全》吴翰清著刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下,俗话说>>>好脑袋不如一个烂笔头>>>>随笔>>>>>的时候想另开一篇关于攻击篇[XSS攻击,SQL注入,,,]的记录,,,只是"记录"(⊙o⊙)…>>>>>>>>>>>>>>...
分类:
Web程序 时间:
2015-05-15 01:14:17
阅读次数:
143
之前讨论过,在解决post跨域请求时,采用iframe+本域代理页的形式,兼容性(当然是包括IE6啦)是最好的。上次提到,代理页面的作用是:执行本域下的回调函数。就是这个原因,给XSS带来了便利。详细说明,请参考一个跨域请求的XSS漏洞 上次也提到,解决这个问题的根本在于杜绝不合法的函数在页面...
分类:
其他好文 时间:
2015-05-09 18:51:49
阅读次数:
98
