测试的时候会涉及到xss测试,下面简要整理下xss的知识xss跨站脚本特点就是能注入恶意的HTML/JS代码到用户浏览器,劫持用户会话常用alert来验证网站存在漏洞如果确认存在漏洞,会随着注入的内容不同而产生危害比如:窃取cookie,网页挂马,恶意操作,跨站蠕虫等等分类:反射型:非持久,一般为一...
分类:
其他好文 时间:
2015-12-04 17:57:48
阅读次数:
122
DVWA是用PHP+MySQL编写的一套用于常规Web漏洞教学和检测的Web脆弱性测试程序,包含了SQL注入、XSS、盲注等常见的一些安全漏洞,是一个非常好的网络安全实验平台。安装使用DVWA需要有Apache+PHP+MySQL的Web环境,这里推荐然使用AppServ。AppServ集成了Apache+PHP+MySQL,官网:h..
分类:
其他好文 时间:
2015-11-30 10:10:28
阅读次数:
249
前言:这个小项目是我刚学习JSP时,参考“JSP程序设计”这本书写的。这里之所以说参考这本书而不是照着这本书写,主要是因为我自己完成的时候删掉了不少繁琐的写法(比如:文件上传);同时对书中容易产生SQL注入漏洞,XSS跨站脚本漏洞等地方的写法进行了修改过滤;登录页面加..
分类:
编程语言 时间:
2015-11-30 02:22:55
阅读次数:
268
1,只支持GET,不支持其他例如:put,delete,post等2,想拿到数据需要服务器端做出相应处理,必须在window域下面有对应的执行函数。例如:window.callbackHandler,这样写死的callbackHandler也许有可能遭受XSS攻击.jquery默认会生成随机的。抛砖...
分类:
其他好文 时间:
2015-11-27 12:25:01
阅读次数:
134
这周六会在公司分享经验和技巧,把自己的和网上的一些技巧来综合写一些,方便大家和自己:普通的XSS,储存,反射,DOM形成的无外乎就是输出点在html标签之间,html属性之间,成为JS代码,称为CSS代码。下面写一些我的技巧:1.引用新增的标签,例如chrome在下一个版本新增了,我们就可以利用.....
分类:
其他好文 时间:
2015-11-27 10:45:09
阅读次数:
125
一、跨站脚本攻击(XSS) 定义: XSS又叫CSS (Cross Site Script) 。最危险和最常见的安全漏洞之一,这个漏洞是通常用于执行cookie窃取、恶意软件传播,会话劫持,恶意重定向。分为三种类型: 1,非持久性XSS。劫持链接。最常用,使用最广。带有恶意脚本代码参数的URL被HT...
分类:
Web程序 时间:
2015-11-24 22:55:56
阅读次数:
208
原文:http://www.django-china.cn/topic/580/一.CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CS...
分类:
其他好文 时间:
2015-11-20 06:56:34
阅读次数:
186
i春秋学院是国内比较知名的安全培训平台,前段时间看了下网站,顺便手工简单测试常见的XSS,发现网站搜索功能比较有意思。其实是对用户输入的内容HTML编码和URL编码的处理方式在这里不合理,提交到乌云被拒绝了,因为确实没啥危害,因此技术BLOG记录下。如搜索:http://www.ichunqiu.c...
分类:
Web程序 时间:
2015-11-20 00:10:10
阅读次数:
163
Server对象: 1、Server是Context的一个属性,是HttpServerUtility类的一个对象 2、Server.HtmlDecode()、Server.HtmlEncode() (处理Xss漏洞攻击,如这些符号)Server.UrlEncode()(处理非ASCII字符)、Ser...
分类:
Web程序 时间:
2015-11-19 18:52:07
阅读次数:
175
最近在外派到外包公司,有时候需要负责测试系统刚好本人对那些功能测试感觉比较乏味。对安全测试比较感兴趣。发现项目中编辑框存在xss漏洞只要构造(刚好该网站本身有引入jquery)xss.php:把$_GET['c']保存到文件中这样就能获取到用户cookie了。(在火狐上就算浏览器提示阻止了跨域,但是...
分类:
其他好文 时间:
2015-11-18 19:32:35
阅读次数:
126
