图中 Browse 是浏览器,WebServerA 是受信任网站/被攻击网站 A,WebServerB 是恶意网站/点击网站 B。 (1) 一开始用户打开浏览器,访问受信任网站 A,输入用户名和密码登陆请求登陆网站 A。 (2) 网站 A 验证用户信息,用户信息通过验证后,网站 A 产生 Cooki ...
分类:
编程语言 时间:
2018-07-05 23:20:16
阅读次数:
641
CRF攻击原理 用户访问恶意网站,被恶意网站利用用户信息对用户的信息进行盗取,对用户发送邮件、短信或者转账支付等恶意行为。 1、用户A在访问信任网站B,并进行登录。 2、信任网站B返回给用户A的cookie。 3、用户A在没有退出网站A的情况下,访问恶意网站C 4、恶意网站C通过用户的cookie访 ...
分类:
其他好文 时间:
2018-07-02 23:04:22
阅读次数:
227
实验 一、 xss跨站脚本实验 XSS全称(cross site scripting)跨站脚本攻击,是web程序最常见的漏洞。指攻击者在网页嵌入客户端脚本如javascript,当用户浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取cookkie,导航到恶意网站等,主要原因就 ...
分类:
其他好文 时间:
2018-05-09 21:30:36
阅读次数:
175
一、点击劫持 什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中就进行了某些不安全的操作。 二、使用JS防范 判断顶层视口的域名是不是和本页面的域 ...
分类:
其他好文 时间:
2018-04-06 22:38:06
阅读次数:
222
一、同源策略与跨站脚本攻击 JavaScript 的同源策略,是由Netscape提出的一个著名的安全策略,为了阻止A站的JS去操作别的网站的数据。你想啊,你现在打开了浏览器,在一个tab窗口中打开了银行网站,在另外一个tab窗口中打开了一个恶意网站,而那个恶意网站挂了一个的专门修改银行信息的Jav ...
分类:
其他好文 时间:
2018-04-01 18:56:57
阅读次数:
158
一、同源策略与跨站脚本攻击 JavaScript 的同源策略,是由Netscape提出的一个著名的安全策略,为了阻止A站的JS去操作别的网站的数据。你想啊,你现在打开了浏览器,在一个tab窗口中打开了银行网站,在另外一个tab窗口中打开了一个恶意网站,而那个恶意网站挂了一个的专门修改银行信息的Jav ...
分类:
其他好文 时间:
2018-04-01 18:52:21
阅读次数:
170
阅读目录 1.csrf 2 .演示csrf 3.防csrf的使用 3.保护原理 4.取消保护 回到顶部 1.csrf 全称Cross Site Request Forgery,跨站请求伪造 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的 ...
分类:
其他好文 时间:
2018-01-24 17:01:24
阅读次数:
155
CSRF 文件名为:Cross Site Request F "什么是CSRF" "CSRF是怎么产生的" "CSRF的攻击对象" "CSRG的攻击手段" "CSRF的防御措施" 什么是CSRF 全称是(Cross Site Request Forgery)跨站请求伪造。也就是恶意网站伪装成用户向目 ...
分类:
Web程序 时间:
2017-12-30 12:26:54
阅读次数:
216
一、配置防盗链实例:假如你维护一个免费的论坛网站,是可以免费发图片的,有一个国外的恶意网站,把图片发在你的网站里,且在自己的网站里放入他在你网站发图的链接,这样在他的网站里就可以直接跳转到你的网站来访问图片,这样增加了自己网站的带宽,但是没有实质意义,因为自己的用户量并没有增长,怎么限制这种行为呢,是通过限制Referer(上一次访问的网站)来实现。修改虚拟配置文件;[root@abc 111.c
分类:
其他好文 时间:
2017-12-25 11:36:45
阅读次数:
117
Flask-WTF扩展可以把处理web表单的过程变成一种愉悦的体验。 一、跨站请求伪造保护 默认情况下,Flask-WTF能够保护所有表单免受跨站请求伪造的攻击。恶意网站把请求发送到被攻击者已登录的网站时就会引起CSRF攻击。 为了实现CSRF保护,Flask-WTF需要程序设置一个密钥。Flask ...
分类:
编程语言 时间:
2017-11-04 00:09:22
阅读次数:
285
