WAF分类:1.网络层类2.最常见且容易部署的应用层类(部署在APACHE之前,APACHE之后)应用层WAF–利用WAF自身缺陷和MYSQL语法特性并结合实际绕过:WAF最常见检测方式:关键词检测例如如果出现[空格]union[空格]这样的SQL语句则视为恶意请求,丢弃这个数据包,XSS代码同理。...
分类:
其他好文 时间:
2015-04-28 13:27:05
阅读次数:
190
对于一个Web应用来说,可能会面临很多不同的攻击。下面的内容将介绍一些常见的攻击方法,以及面对这些攻击的防御手段。...
分类:
Web程序 时间:
2015-04-25 18:27:54
阅读次数:
204
SRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。
文/H3C攻防团队
1 CSRF漏洞简介
CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执...
分类:
其他好文 时间:
2015-04-25 09:24:03
阅读次数:
140
这里提供了一个函数,用来过滤用户输入的内容!使用POST传值的时候,可以调用这个函数进行过滤! ????/**
?????*?过滤参数
?????*?@param?string?$str?接受的参数
?????*?@return?str...
分类:
数据库 时间:
2015-04-23 11:15:51
阅读次数:
176
前段时间帮助朋友排查一个关于ExchangeServer2010升级SP3问题时他所遇到的一个问题,问题截图如下:根据以往进行Exchange升级经验来看,很直接其实是由于要升级的Exchangeserver与架构主机不在同一个站点造成的,所以根据此现象也有2个解决方法,方法如下:1.将活动目录的FSMO..
分类:
其他好文 时间:
2015-04-23 00:22:18
阅读次数:
169
MVC-Controller-ActionResult1 [ValidateAntiForgeryToken]此特性可帮助阻止跨站点请求伪造。它不会阻止其他伪造或篡改攻击。
Java程序中,每个线程都有自己的Stack Space。这个Stack Space不是来自Heap的分配。所以Stack Space的大小不会受到-Xmx和-Xms的影响,这2个JVM参数仅仅是影响Heap的大小。Stack Space用来做方法的递归调用时压入Stack Frame。所以当递归调...
分类:
其他好文 时间:
2015-04-20 20:45:20
阅读次数:
169
为了构建“反射型部分”,Sopas在用户账号的“Bio”域中插入了一个批处理指令,并解释说插入到其他域也可以实现同样的功能。然后,他用Chrome浏览器打开一个包含恶意代码的新页面,该恶意页面可以禁用浏览器中的大多数保护机制。通过分析了用户的InstagramJSON文件,然后通过修..
分类:
其他好文 时间:
2015-04-17 15:58:26
阅读次数:
211
这个RFD(反射型文件名下载)漏洞存在于InstagramAPI中。通过篡改任何用户账号的访问令牌并使用一些技巧,攻击者可以创建一个恶意文件下载链接。同时由于这个链接指向Instagram域名上的合法资源,所以很难被用户觉察。“我在InstagramAPI上发现了一个RFD(反射型文件名下载),不需..
分类:
其他好文 时间:
2015-04-17 15:58:22
阅读次数:
284
本文主要介绍Ajax技术,XHR对象的用法以及注意事项,还包括同源策略,跨域方法,跨站请求伪造等内容
分类:
Web程序 时间:
2015-04-17 13:14:36
阅读次数:
133
