(一)软件测试环境以及搭建 测试环境:本地 XAMPP 1.7.1 测试软件:PHP168整站v5.0 软件下载地址 http://down2.php168.com/v2008.rar PHP.ini 配置: magic_quotes_gpc Off(On或者Off对持久型XSS并无没影响)...
分类:
其他好文 时间:
2015-10-21 17:09:45
阅读次数:
269
跨站脚本(CrossSiteScripting)攻击是指在远程WEB页面的HTML代码中插入恶意的JavaScript,VBScript,ActiveX,HTML,或Flash等脚本,窃取浏览此页面的用户的信息,改变用户的设置,破坏用户数据的攻击技术。跨站脚本攻击在多数情况下不会对服务器和WEB程序...
分类:
Web程序 时间:
2015-10-21 15:17:00
阅读次数:
143
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你.....
分类:
其他好文 时间:
2015-10-19 20:57:19
阅读次数:
222
1.CSRF(跨站请求伪造)http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
分类:
Web程序 时间:
2015-10-17 00:39:36
阅读次数:
150
这段代码来自BlackHat DC 2011((黑帽安全大会,全世界最大两个黑客大会之一,另一个是Defcon)中的一个叫Ryan Barnett黑客做的XSS Street-Fight!的演讲(XSS是Web上比较经典的跨站式攻击,操作起来也有些复杂),一共69页,基本上都是一些比较枯燥的Ja.....
分类:
编程语言 时间:
2015-10-16 21:58:04
阅读次数:
210
1、onmouseenter:当鼠标进入选区执行代码1234562、onmouseleave:当鼠标离开选区执行代码1234563、onmousewheel:当鼠标在选区滚轮时执行代码1234564、onscroll:拖动滚动条执行代码123456 5、onfocusin:当获得焦...
分类:
其他好文 时间:
2015-10-16 18:19:57
阅读次数:
1994
1.什么是CSRF攻击?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。简单来说,攻击者盗用了你的身份,以你的名义发送恶意请求。比如你登陆了网银(假定是A网...
分类:
其他好文 时间:
2015-10-14 19:28:06
阅读次数:
128
发现一号店首页曝出XSS漏洞,在IE8,IE9,IE10上均有此漏洞
1.进入一号店首页:
http://www.yhd.com
2.搜索第一个字符串或者第二个字符串...
分类:
其他好文 时间:
2015-10-13 09:14:37
阅读次数:
193
HTML blade部分 <meta?name="_token"?content="{{?csrf_token()?}}"/> 前端js请求部分(注意那个header属性,是为了避免跨站伪造请求攻击写的) $.ajax({
type:?‘POST‘,
url:?‘/ajax/create‘,
data:?{?d...
分类:
Web程序 时间:
2015-10-06 07:04:56
阅读次数:
315
csrf:crosssiterequestforgery攻击方式:php:curlphp:fsockopen防御:1、表单token(随机数)2、验证码3、referercheck(检查header中的referer)
分类:
其他好文 时间:
2015-09-30 14:46:59
阅读次数:
133
