摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。关键字:SQL注入...
分类:
数据库 时间:
2015-06-10 17:12:34
阅读次数:
224
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以.....
分类:
其他好文 时间:
2015-06-09 16:45:41
阅读次数:
138
虽然Flask的请求对象给表单处理提供了足够的支持,但也有一些任务繁琐和重复。比如为表单生成HTML代码和验证提交表单数据。 Flask-WTF扩展能解决上述问题。它基于wtforms 防止跨站请求伪造 跨站请求伪造(Cross-si...
分类:
Web程序 时间:
2015-06-08 11:49:07
阅读次数:
360
上回提到,由于需要使用代理页面解决POST请求的跨域请求,需要在代理页面上执行传递的函数。所以我们做了白名单只有我们认可的回调函数才能在页面上执行,防止执行非法的JS方法,做脚本攻击。 我们所采用的方式是,把白名单以及过滤方法单独提出作为单独的文件引入页面,然后进行使用(这就为新的漏洞提供了机...
分类:
其他好文 时间:
2015-06-07 21:29:31
阅读次数:
209
第二篇 客户端脚本安全第2章 浏览器安全1. 同源策略:域划分2. 浏览器沙箱:让不可信任的代码运行在沙箱中,以进行隔离;3. 恶意网址拦截:公共组织提供黑名单;EV数字证书认证安全的网站;4. 高速发展的浏览器安全浏览器设置xss攻击原则,遵循的安全策略,但是浏览器为了用户的人性化使用,设置的匹配...
分类:
其他好文 时间:
2015-06-07 17:21:28
阅读次数:
132
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过...
分类:
其他好文 时间:
2015-06-07 08:22:13
阅读次数:
211
《Web前端黑客技术揭秘》作者:余弦&Xisigr简述:强烈推荐!国内第一本专注前端方面的书,详细讲述了包括但不仅限于XSS、CSRF、ClickJacking等攻击类型。《白帽子讲Web安全》作者:吴翰清 Axis简述:内容比较综合且基础,较为全面并详细的讲述了作者的安全世界观,值得一读!《黑客攻...
分类:
Web程序 时间:
2015-06-03 15:38:18
阅读次数:
287
ASP.Net1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 以下是引用片段:ServerErrorin...
分类:
其他好文 时间:
2015-06-03 11:29:25
阅读次数:
107
open_basedir的正确格式:php_admin_value[open_basedir]=/data/www/:/tmp/这种方式不需要重启nginx或php-fpm服务。安全起见应当取消掉.user.ini文件的写权限。关于.user.ini文件的详细说明:http://php.net/manual/zh/configuration.file.per-user.php设置open_basedir的同时..
分类:
Web程序 时间:
2015-06-01 20:35:41
阅读次数:
125
ASP.Net1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面:以下是引用片段:ServerErrorin'...
分类:
Web程序 时间:
2015-06-01 18:45:02
阅读次数:
185
