自动化生成poc burpsuite CSRF使用方法 POST Burpsuite生成poc js代码提交 JSON劫持攻击 CSRF蠕虫 flash CSRF csrf+xss组合拳 CSRF绕过referer 1.Refere为空条件下 利用ftp://,http://,https://,fi ...
分类:
其他好文 时间:
2020-05-03 16:57:24
阅读次数:
78
xss绕过姿势总结 1. 见框就插,查看源代码找寻漏洞点 1. 闭合注入点标签,尝试创建标签注入 2. 过滤: 1. 被转义,使用事件,常用事件为: onerror、onload、onclik、onmouseover、oninput等 2. 过滤script和事件,使用伪协议a标签 3. 大小写 4 ...
分类:
其他好文 时间:
2020-05-03 16:56:40
阅读次数:
61
XSS跨站脚本(Cross-site scripting) XSS成因概括 : XSS其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库,最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码, 数据流程如下:攻击者的Html输入—>web程序—>进入 ...
分类:
其他好文 时间:
2020-05-03 12:46:00
阅读次数:
77
如何避免CSRF攻击? 答:CSRF定义 [CSRF 百度百科](https://baike.baidu.com/item/CSRF/2735433) CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Rid ...
分类:
其他好文 时间:
2020-05-03 12:38:28
阅读次数:
67
概述 xss分类 反射型 :url里面 存储型:存到某种介质里面;留言板 dom型:与反射型xss类似.由js插入到页面 修复: HTML 实体编码 使用白名单 根据业务场景对症下药 黑名单 存储型xss 原理 实战 能输入的地方:发帖,评论,个人签名,文章标题 寻找思路:用户能够输入的地方都有可能 ...
分类:
其他好文 时间:
2020-05-02 21:18:23
阅读次数:
104
"http://test.ctf8.com/" level1 借助window.alert()函数完成任务 level2 输入框输入test后 Ctrl+g搜索源码中的test,发现有两处 分别构造以下两个payload 第二个奏效 level3 同样的方式 构造payload为 发现 源代码用 处 ...
分类:
其他好文 时间:
2020-05-02 20:47:57
阅读次数:
155
网站安全 包括常见的xss攻击、CSRF攻击等等 1 sql注入:窃取数据库内容 2 XSS攻击:窃取前端的cookie内容 3 密码加密:保障用户信息安全 "前端安全系列(一):如何防止XSS攻击?" "前端安全系列(二):如何防止CSRF攻击?" 1 sql注入攻击: 比如登陆接口,执行的命令是 ...
分类:
Web程序 时间:
2020-05-01 14:54:02
阅读次数:
84
什么是XSS? 为了与层叠样式表css区分,将跨站脚本简写为XSS。 XSS攻击原理 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在w ...
分类:
其他好文 时间:
2020-04-30 23:19:20
阅读次数:
107
在目前小程序开发的时候我们需要注意的点: 1.小程序针对非空,undefined情况需要想好处理,避免出现任何 JavaScript 异常,导致页面白屏 2.合理控制图片的大小:图片太大会增加下载时间和内存的消耗,应根据显示区域的大小合理控制图片的大小 3.每次联调可以看后端请求接口的时间,所有请求 ...
分类:
微信 时间:
2020-04-30 15:42:14
阅读次数:
184
springboot Xss(跨站脚本攻击) #依赖 <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> <!-- Boole ...
分类:
编程语言 时间:
2020-04-30 13:30:23
阅读次数:
70
