最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的。下面就把这块东西分享出来。原创文章,转载请注明-----------------------------------------正题-------------------------测试...
分类:
移动开发 时间:
2015-06-01 16:15:09
阅读次数:
762
最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中此篇文章是关于链接注入问题的。下面就把这块东西分享出来。原创文章,转载请注明-----------------------------------------正题-------------------------测试类型...
分类:
移动开发 时间:
2015-06-01 16:07:04
阅读次数:
2989
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站...
分类:
Web程序 时间:
2015-05-31 12:12:12
阅读次数:
120
CSRF 背景与介绍CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,...
分类:
其他好文 时间:
2015-05-29 17:32:10
阅读次数:
134
很多时候,在JSP中我们喜欢用EL表达式输出信息,但是最近发现这个确实存在个问题:XSS即跨域攻击。下面看个例子: 和 ${student.name}都能输出同样的结果。 但是有跨域攻击时student.name = ,${student.name}将会执行,而c:out则不会。原因:c:ou...
分类:
其他好文 时间:
2015-05-29 00:48:54
阅读次数:
3795
梦想Sky XSS跨站测试代码大全 ‘><script>alert(document.cookie)</script> =‘><script>alert(document.cookie)</script> <script>alert(document.cookie)</script> <script>alert(vulnerable)</script> %3Cscrip...
分类:
其他好文 时间:
2015-05-28 14:26:06
阅读次数:
309
利用填写的表单输入html命令,在目标服务器或者本机执行。 1)跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。 2)XSS工作原理 恶意web用户将代码植入到提供给其它.....
分类:
其他好文 时间:
2015-05-28 00:37:12
阅读次数:
223
下面转的两篇文章分别说明了以下两个概念和一些解决方法:1. CSRF - Cross-Site Request Forgery - 跨站请求伪造2. CORS - Cross Origin Resourse-Sharing - 跨站资源共享(1. CSRF)转自:http://www.h3c.com...
分类:
其他好文 时间:
2015-05-25 18:13:48
阅读次数:
211
这个月我们新开发了一个项目,由于使用到了4台机器做web,使用dns做负载均衡,上面图上用户通过DNS的调度(一个域名对应多个ip)分别访问到VM2-VM5上,四台机器都访问VM1上的redis,两个redis值主从结构.因此需要使用跨服务器的session保存用户登录状态,于是我写了一个跨站的s....
分类:
其他好文 时间:
2015-05-24 11:33:00
阅读次数:
99
一:web.xml文件 <!--?解决xss漏洞?-->
??<filter>
????<filter-name>xssFilter</filter-name>
?????<filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>
??</filter>
...
分类:
其他好文 时间:
2015-05-22 11:49:09
阅读次数:
169
