一丶XSS漏洞成因及原理 XSS也叫Cross Site Script,因为和CSS重名,所以改名XSS。 通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是 跨域的,所以叫“跨站脚本”。但是发展到今天,由于Ja ...
分类:
其他好文 时间:
2020-03-24 19:00:48
阅读次数:
182
web常见攻击手段 我只会大概提及它的攻击原理和预防方法,具体的实现和深入研究还请大家自行百度,因为只有真正需要用到才会去详细了解,这里我只为web安全小白做知识扫盲。因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲。 跨站脚本攻击(XSS) 虽然我们目前做的是一个博客 ...
分类:
Web程序 时间:
2020-03-23 17:24:37
阅读次数:
87
CSRF 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: ( ...
分类:
其他好文 时间:
2020-03-23 15:16:43
阅读次数:
78
#include "stdafx.h" #include "iostream" using namespace std; #include "string" char a[26]={'d','l','r','y','v','o','h','e','z','x','w','p','t','b','g' ...
分类:
其他好文 时间:
2020-03-23 10:00:29
阅读次数:
82
Tomcat是一个开源的轻量级Web应用服务器,在我们平常工作过程中接触得非常多。代码也非常经典,很多人为了提升自己的技术也会去阅读学习Tomcat的源码。但正如著名诗人李白所说的:世界上本没有漏洞,使用的人多了,也就发现了漏洞。比如今年的2月份就爆出了存在文件包含漏洞。今天我们选择 两个 比较直观 ...
分类:
其他好文 时间:
2020-03-23 09:37:11
阅读次数:
91
XSS的中文名称叫跨站脚本,是WEB漏洞中比较常见的一种,特点就是可以将恶意HTML/JavaScript代码注入到受害用户浏览的网页上,从而达到劫持用户会话的目的。XSS根据恶意脚本的传递方式可以分为3种,分别为反射型、存储型、DOM型,前面两种恶意脚本都会经过服务器端然后返回给客户端,相对DOM ...
分类:
其他好文 时间:
2020-03-22 19:44:38
阅读次数:
72
问题 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。 方法 使用jsoup HTML Cleaner ...
分类:
Web程序 时间:
2020-03-21 21:18:58
阅读次数:
87
概述: CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接)。 然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了 CSRF攻击的条件: 1.目标网站没有对修改个人信息修改 ...
分类:
其他好文 时间:
2020-03-20 00:54:49
阅读次数:
66
Catfish(鲶鱼) Blog V1.3.15 代码审计 1,前台存储型xss漏洞 漏洞点:application\index\controller\index.php 调用了filterJs函数对content 参数进行过滤。 继续跟进filterJs函数: 在/application/inde ...
分类:
其他好文 时间:
2020-03-17 21:04:13
阅读次数:
55
本来是想使用小程序的input组件 但它直接调起系统键盘或微信内置的键盘 不能实现一些自定义的功能 所以只好自己做一个键盘出来了 第一步是写一个数字键盘出来(其他键盘同理) 难也不难。 wxml: 图标是iconfont <view class="keyboard"> <view class="ke ...
分类:
微信 时间:
2020-03-14 23:55:29
阅读次数:
194
