1.服务器扫面■HTTPTRACEMethodEnabled说明:Apache服务器启用了TRACEMethod。1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。2.由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本简称..
分类:
Web程序 时间:
2015-04-14 20:08:15
阅读次数:
1287
转一篇文章,个人感觉写的通俗易懂http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click at....
分类:
其他好文 时间:
2015-04-14 12:31:17
阅读次数:
206
web前端如果想实现cookie跨站点,跨浏览器,清除浏览器cookie该cookie也不会被删除这似乎有点难,下面的教程让你完全摆脱document.cookiesuperCookie.js:http://beta.tfxiq.com/superCookie.jsdemo:http://beta....
分类:
Web程序 时间:
2015-04-13 22:31:52
阅读次数:
267
最近研究XSS,根据etherDream大神的博客延长XSS生命周期写了一个子页面父页面相互修改的demo。一、 子页面、父页面相互修改——window.opener、window.open在父页面修改子页面,是用到了window.open函数:在子页面修改父页面的话,用到的是window.open...
分类:
编程语言 时间:
2015-04-12 20:56:16
阅读次数:
174
场景回顾 一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求。 首先,部署proxy.html代理页面。这个页面处理服务端返回的数据,并执行接口的回调函数。接口请求成功后,返回的是: proxy页面,解析服务端传回的参数...
分类:
其他好文 时间:
2015-04-11 22:20:15
阅读次数:
132
在前一篇文章xms/xmx/xss在kette中的调优设置中,我对kettle进行了一次优化,这次我们再一次进行优化,这次效果非常明显,这次优化有两部分:一、修改jvm添加xmn,二、修改日志输出级别 在Java TM Performance一书...
分类:
其他好文 时间:
2015-04-11 18:04:32
阅读次数:
162
1、简介CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF;2、功能你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的...
分类:
其他好文 时间:
2015-04-09 21:21:17
阅读次数:
152
好消息,博主提供网站安全检查服务啦!
担心你的网站被黑吗?
个人网站、企业网站、P2P金融网站,来找我吧!给我一个网址,我就可以告诉你你的网站安全性如何,是否存在SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等!你的网站是否已经被挂马了我都知道哦~~
需要检查你的网站安全性的朋友,可以联系萌萌哒的博...
分类:
Web程序 时间:
2015-04-09 12:00:16
阅读次数:
148
OWASP top 10的安全威胁中的CrossSite Scripting(跨站脚本攻击),允许攻击者通过浏览器往网站注入恶意脚本。这种漏洞经常出现在web应用中需要用户输入的地方,如果网站有XSS漏 洞,攻击者就可以通过这种漏洞向浏览网站的用户发送恶意脚本,同时也可以利用该漏洞偷取session...
分类:
其他好文 时间:
2015-04-07 15:21:58
阅读次数:
179
前言译者注:翻译本文的最初原因是当我自己看到这篇文章后,觉得它是非常有价值。但是这么著名的一个备忘录却一直没有人把它翻译成中文版。很多人仅仅是简单的把文中的各种代码复制下来,然后看起来很刁的发在各种论坛上,不过你要真去认真研读这些代码,就会完全不知所云了。原因是这篇文章最精华的部分是代码的解释而非代...
分类:
其他好文 时间:
2015-04-07 11:49:49
阅读次数:
133
