浅谈 XSS & CSRF客户端(浏览器)安全同源策略(Same Origin Policy)同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。如:不能通过Ajax获取另一个源的数据;JavaScript不能访问页面中iframe加载的跨域资源。对 http://store.c...
分类:
其他好文 时间:
2015-05-08 19:56:26
阅读次数:
113
1.Fiddler 监视器简介
2.Fiddler 工具栏简介
3.Fiddler 请求模拟
4.Fiddler 文件代理简介...
分类:
其他好文 时间:
2015-05-06 19:45:41
阅读次数:
170
目录1绕过单引号2绕过SCRIPT过滤3使用IMG源4使用制表符换行符和回车符5使用空白符6双引号配对的bug7绕过css过滤器8不全面的过滤器9转义字符10编码1,绕过单引号我们假设管理员在我们的单引号之前放置了一个“\”,有时候双引号之前也会放置,通过一些类似add_slashes的函数可以实现...
分类:
其他好文 时间:
2015-05-06 12:47:11
阅读次数:
193
用过CSP的都很郁闷,上报的只有违规的站点名,却没有具体路径。这是缺陷,还是特意的设计?显然,CSP是为安全定制的,里面的规范自然要严格制定,否则就会带来新的安全问题。如果支持详细路径的上报,那又会引出什么问题?由于CSP会上报所有的请求,甚至包括重定向的,因此可以..
分类:
其他好文 时间:
2015-05-06 11:11:43
阅读次数:
118
1、什么是XSSXSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,由于其被动且不好利用,所以很多人常呼略其危...
分类:
其他好文 时间:
2015-05-06 10:50:56
阅读次数:
126
有同学问,用百度搜索了下,发现国内相关介绍基本是没有,就写篇文章来介绍下。不过看到有现成的介绍,就拿来翻译修改下。本文的内容主要翻译来自该文章,把一些没必要的话给删了,做了一些整理修改,然后补充一些案例。http://www.acunetix.com/blog/web-security-zone/u...
分类:
其他好文 时间:
2015-05-05 16:15:13
阅读次数:
134
‘>=’>%3Cscript%3Ealert(‘XSS’)%3C/script%3E%0a%0a.jsp%22%3cscript%3ealert(%22xss%22)%3c/script%3e%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/p...
分类:
其他好文 时间:
2015-05-03 15:56:24
阅读次数:
82
对于ExtJs表单中的多行文本框,本身就自带一个没有格式的textareafield。
如果要呈现一个带格式的文本编辑器给用户,ExtJs本身就自带一个htmlEditor。
一、基本目标
比如下图的带编辑器的文本框。
这个组件具有加粗、斜体、下划线,增加减少字号,颜色等功能,而且自动会对文本自动编码,无需担心跨站攻击,只要在后台防范好SQL注入就可以了。
如下图,即使在...
分类:
Web程序 时间:
2015-04-30 09:05:59
阅读次数:
438
转自 http://blog.csdn.net/iwebsecurity/article/details/1688304相信大家都或多或少的听过关于各种Web应用安全漏洞,诸如:跨site脚本攻击(XSS),SQL注入,上传漏洞...形形色色. 在这里我并不否认各种命名与归类方式,也不评价其命名的....
分类:
Web程序 时间:
2015-04-28 17:29:42
阅读次数:
90
WordPress < 4.1.2 存储型XSS漏洞0x00 原理最近几天爆出来的,今天才看。网上的分析也有很多了估计,我也发一篇好了233333因为确实很经典,思路很不错。具体的细节看老外写的,请戳:
https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2
这次主要是Mysql中的UTF-8只支持3个byte,如果需要...
分类:
其他好文 时间:
2015-04-28 16:13:05
阅读次数:
160
