1.HTML是一种标记语言2.HTML元素不区分大小写 //可以在xss绕过waf时使用3.为空元素标签 为自闭合标签 虚元素标签 用空元素标签形式表示的虚元素标签4.一个元素可以应用多个属性,这些属性间用空格分隔5.属性顺序没有要求6.布尔属性例如:disabled disabled=”” dis...
分类:
Web程序 时间:
2015-03-12 18:38:54
阅读次数:
173
转自:http://www.tuicool.com/articles/FbQ3ymBWAF的主要功能为:ip黑白名单url黑白名单useragent黑白名单referer黑白名单常见web漏洞防护,如xss,sql注入等cc攻击防护扫描器简单防护其他你想要的功能WAF的总体检测思路:当用户访问到ng...
分类:
其他好文 时间:
2015-03-12 17:01:46
阅读次数:
413
问题
在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。
方法
使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 Whitelist。
String un...
分类:
Web程序 时间:
2015-03-11 17:18:41
阅读次数:
142
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的...
分类:
其他好文 时间:
2015-03-10 18:54:32
阅读次数:
104
-Xms8000M初始化的堆大小-Xmx8000M 堆的最大值-XX:+HeapDumpOnOutOfMemoryError 堆溢出时Dump出当前内存堆转储快照以便事后分析-XX:PermSize=10M 方法区(非堆)初始化大小-XX:MaxPermSize=10M 方法区(非堆)最大值-Xss...
分类:
编程语言 时间:
2015-03-10 13:55:32
阅读次数:
141
1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cr...
分类:
Web程序 时间:
2015-03-03 11:28:02
阅读次数:
177
本文为翻译版本,原文请查看 https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet介绍谈到XSS攻击,有三种公认的形式,Stored、 Reflected 和 DOM Based XSS。 XSS Prevention...
分类:
其他好文 时间:
2015-03-02 06:05:31
阅读次数:
391
直接上代码:JavaScript: 1 /** 2 * 贵金属、外汇及原油的价格 3 */ 4 function getDDE(code,id) { 5 $.ajax({ 6 type: "POST", 7 url: "http://market.gs99...
分类:
Web程序 时间:
2015-03-01 14:24:57
阅读次数:
149
使用jQuery.append()、jQuery.html()方法时,如果其中内容包含';2 $('#test').html(xssStr);控制台会打印出“1”。同样的情况也存在于jQuery.append(),因为jQuery.html()内部也是调用jQuery.append()。既然会存在执...
分类:
移动开发 时间:
2015-02-28 16:16:13
阅读次数:
159
本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet介绍本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御X...
分类:
其他好文 时间:
2015-02-28 06:39:33
阅读次数:
396
