第一章 css的基础概念 第二章 xss练习关卡 第三张 burpsuite 第一章 Xss就是css,跨站脚本攻击指的是攻击者往web页面插入恶意的js代码在用户浏览该网页的时候被插入了js的web网页会执行js代码,这样子去到达攻击者的目的 Xss漏洞的分类 存储型(持久型)常发生在留言板一类: ...
分类:
其他好文 时间:
2020-05-10 15:16:31
阅读次数:
153
1、什么是跨域访问 浏览器访问同一个服务端时,在一个页面中请求另一个域名中的页面。这样一个页面请求服务端,用到了两个域名,这就是跨域。浏览器一般默认禁止跨域。因为跨域不安全:容易出现CSRF攻击。所谓CSRF攻击是指一个用户访问一个正规的网站A,正常网站A会返回用户对应的cookie信息存放在客户端 ...
分类:
Web程序 时间:
2020-05-10 13:04:05
阅读次数:
74
今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享. CSRF(Cross-site request forgery):跨站请求伪造。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A, ...
分类:
其他好文 时间:
2020-05-10 01:17:29
阅读次数:
61
1.Cross Site Script(XSS,跨站脚本攻击) XSS 就是攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的。XSS 的特点就是想尽一切办法在目标网站上执行第三方脚本。 举个例子。原有的网站有个将数据库中的数据显示到页面的上功能,document ...
分类:
Web程序 时间:
2020-05-08 13:08:45
阅读次数:
90
想要开发出一套高质量的小程序,运用框架,组件库是省时省力省心必不可少一部分,随着小程序日渐火爆,各种不同类型的小程序也渐渐更新,其中不乏一些优秀好用的框架/组件库。1:WeUI小程序–使用教程https://weui.io/官方介绍:WeUI是一套同微信原生视觉体验一致的基础样式库,由微信官方设计团队为微信内网页和微信小程序量身设计,令用户的使用感知更加统一。小程序开发中最常用到的一款框架,受广大
分类:
微信 时间:
2020-05-07 09:22:24
阅读次数:
197
Impossible Level 查看源码 <?php if( isset( $_GET[ 'Change' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_tok ...
分类:
其他好文 时间:
2020-05-06 16:40:30
阅读次数:
78
CSRF(Cross site request forgery)跨站请求伪造,是一种常见的网络攻击手段,具体内容和含义请大家自行百度。 Django为我们提供了防范CSRF攻击的机制。 一、基本使用 默认情况下,使用 命令创建工程时,CSRF防御机制就已经开启了。如果没有开启,请在MIDDLEWAR ...
分类:
Web程序 时间:
2020-05-06 11:44:01
阅读次数:
65
一、问题描述 1、浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击。 二、解决方法 Jsonp:最早的解决方案,利用script标签可以跨域的原理实现 限制:需要服务的支持,只能发起GET请求 nginx反向代理 思路是:利用ng ...
分类:
其他好文 时间:
2020-05-05 11:00:49
阅读次数:
61
一、认证与授权1、认证 即登录功能正常 2、权限 每个用户拥有正确的权限 3、避免未经授权的页面可以直接访问,通过认证和权限(Session),对每个页面有一个判断。例如在知道一个页面的绝对url地址后,该页面有个session变量叫login-in,如果login-in为False时访问该页面跳转 ...
分类:
其他好文 时间:
2020-05-04 19:10:30
阅读次数:
110
xss tour闯关 level 1 第一关都很简单,没有任何过滤。直接在url中输入。因为你可以查看页面源代码,他是get请求。 level 2 第二关有一个输入框,尝试写入东西并了解写的东西在前端被放置的地方,查看页面源代码。发现输入的内容会被h2标签包裹,但是他将给转义了。但是还有一个inpu ...
分类:
其他好文 时间:
2020-05-03 17:00:34
阅读次数:
59
