首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 反射型XSS漏洞如果一个应用程序使用动态页面向用户显示错误消息,如果系统没有对用户输入的内容进行过滤和处理,就会造成一种常见的XSS漏洞。
提取用户提交的输入并将其插入到服务器响应的HTML代码中,这是XSS漏洞的一个明显特征;如果应用程序没有实施任何过滤或净化措施,那么它很容易受到攻击。...
分类:
其他好文 时间:
2015-03-13 16:33:21
阅读次数:
163
1.HTML是一种标记语言2.HTML元素不区分大小写 //可以在xss绕过waf时使用3.为空元素标签 为自闭合标签 虚元素标签 用空元素标签形式表示的虚元素标签4.一个元素可以应用多个属性,这些属性间用空格分隔5.属性顺序没有要求6.布尔属性例如:disabled disabled=”” dis...
分类:
Web程序 时间:
2015-03-12 18:38:54
阅读次数:
173
转自:http://www.tuicool.com/articles/FbQ3ymBWAF的主要功能为:ip黑白名单url黑白名单useragent黑白名单referer黑白名单常见web漏洞防护,如xss,sql注入等cc攻击防护扫描器简单防护其他你想要的功能WAF的总体检测思路:当用户访问到ng...
分类:
其他好文 时间:
2015-03-12 17:01:46
阅读次数:
413
问题
在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。
方法
使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 Whitelist。
String un...
分类:
Web程序 时间:
2015-03-11 17:18:41
阅读次数:
142
-Xms8000M初始化的堆大小-Xmx8000M 堆的最大值-XX:+HeapDumpOnOutOfMemoryError 堆溢出时Dump出当前内存堆转储快照以便事后分析-XX:PermSize=10M 方法区(非堆)初始化大小-XX:MaxPermSize=10M 方法区(非堆)最大值-Xss...
分类:
编程语言 时间:
2015-03-10 13:55:32
阅读次数:
141
1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cr...
分类:
Web程序 时间:
2015-03-03 11:28:02
阅读次数:
177
本文为翻译版本,原文请查看 https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet介绍谈到XSS攻击,有三种公认的形式,Stored、 Reflected 和 DOM Based XSS。 XSS Prevention...
分类:
其他好文 时间:
2015-03-02 06:05:31
阅读次数:
391
使用jQuery.append()、jQuery.html()方法时,如果其中内容包含';2 $('#test').html(xssStr);控制台会打印出“1”。同样的情况也存在于jQuery.append(),因为jQuery.html()内部也是调用jQuery.append()。既然会存在执...
分类:
移动开发 时间:
2015-02-28 16:16:13
阅读次数:
159
本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet介绍本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御X...
分类:
其他好文 时间:
2015-02-28 06:39:33
阅读次数:
396
本文源自:https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting在原文理解上翻译为中文。背景本文描述多种不同类型的XSS攻击,和它们之间的相互关系。最早,有两种类型的XSS攻击被定义,Stored 和 Reflected , 在二零...
分类:
其他好文 时间:
2015-02-26 01:19:46
阅读次数:
288
