常见Web安全漏洞 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>windo ...
分类:
其他好文 时间:
2018-09-08 12:24:34
阅读次数:
152
XSS: 跨站脚本(Cross-site Scripting),xss攻击是一种注入式攻击。基本做法为将恶意代码注入到目标网站,用户在不知情的情况浏览了注入恶意代码的网页是,浏览器就会无差别的执行代码,从而触发了恶意代码,一般xss分为两种类型,一种是持久化的xss和非持久化xss; 持久化xss: ...
分类:
其他好文 时间:
2018-09-05 09:14:52
阅读次数:
167
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端 ...
分类:
Web程序 时间:
2018-09-04 19:50:04
阅读次数:
263
这篇文章主要介绍CI核心框架工具类CI_Input。 根据CI文档自己的定义,该类用来: 提前处理全局变量,以保证安全; 提供一些帮助函数用来处理输入数据。 以下选取类中的重点方法进行说明。 __construct() 在构造函数,根据定义,用来决定是否开启全局的XSS处理和是否允许$_GET数组。 ...
分类:
Web程序 时间:
2018-09-02 23:51:34
阅读次数:
230
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
其他好文 时间:
2018-09-02 02:04:45
阅读次数:
138
产生原因 HTTP 不具备安全功能。 在客户端可以篡改请求。 跨站脚本攻击 XSS 攻击方式: 通过提交的信息中带入 js 脚本或 html 标签。 提前闭合标签,有些甚至不用特殊处理。 执行操作或者引入三方 js 。 解决方案: 对提交内容进行编译,“" 转 “\>”。防止文本解析成标签。 ...
分类:
Web程序 时间:
2018-08-30 20:11:38
阅读次数:
217
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
其他好文 时间:
2018-08-22 17:08:01
阅读次数:
117
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息, ...
分类:
Web程序 时间:
2018-08-18 00:41:31
阅读次数:
194
XSS攻击通常指黑客通过"HTML注入"篡改了页面,插入了恶意脚本,下面演示一个简单的例子: 这个服务端脚本的目的是将用户输入的数据显示到页面中;一般我们随便输入一段文字:桔子桑 页面自然显示:<div>桔子桑</div>; 但是别有用心的人可能会这么输入:<script>alert("hello ...
分类:
其他好文 时间:
2018-08-16 10:41:05
阅读次数:
140
原理 csrf(Cross Site Request Forgery, 跨站域请求伪造:CSRF 攻击允许恶意用户在另一个用户不知情或者未同意的情况下,以他的身份执 行操作。 CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任,但是黑客并不能拿到 cookie,也看不到 cookie ...
分类:
其他好文 时间:
2018-08-12 23:36:38
阅读次数:
173
