vi /etc/php.ini #编辑open_basedir = .:/tmp/ #在380行 设置表示允许访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录,可以防止php木马跨站,如果改了之后安装程序有问题(例如:织梦内容管理系统),可以注销此行,或者直接写上程序的目录/data/ww...
分类:
Web程序 时间:
2015-02-27 16:32:39
阅读次数:
162
本文源自:https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting在原文理解上翻译为中文。背景本文描述多种不同类型的XSS攻击,和它们之间的相互关系。最早,有两种类型的XSS攻击被定义,Stored 和 Reflected , 在二零...
分类:
其他好文 时间:
2015-02-26 01:19:46
阅读次数:
288
特别提示:补丁下载地址为:http://download.ecshop.com开头,该地址为ecmall下载站,如果非以http://download.ecshop.com开头,请勿下载,同时请反馈给管理员。1、修复修改任意用户密码 危险级 高2、修复sql注入漏洞 危险级 高3、修复团购页面xss...
分类:
其他好文 时间:
2015-02-25 23:34:47
阅读次数:
169
跨站脚本攻击框架(XSSF)使利用跨站脚本漏洞进行渗透攻击变得异常方便和快捷。该框架配合Metasploit的攻击模块真实地反映了跨站脚本漏洞的危害。XSSF不仅具有辅助的攻击功能,而且还提供与目标主机浏览器的通信信息功能,这样便于攻击者进一步对内网进行渗透。 XSSF目前的最新版本为3.0版本,该...
分类:
其他好文 时间:
2015-02-25 11:28:30
阅读次数:
276
本文源自 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29通过阅读和翻译,并按照自己的理解,整理成如下文档。概述XSS攻击是一种注入, 通过这种攻击,恶意脚本被注入到被信任的网站里。XSS攻击的表现是,攻击者使用web应用的...
分类:
其他好文 时间:
2015-02-25 01:50:47
阅读次数:
288
这个漏洞只能在IE下使用,FIREFOX会把URL链接参数中的”(双引号)转成编码%22,页面参数的输出也会变成%22,就不能闭合”(双引号)跨站。expression()是个不听话的角色,这里可以用一个小技巧来去掉expression烦人的死循环。运行当前URL的#注释符后的代码:
分类:
其他好文 时间:
2015-02-24 15:02:14
阅读次数:
133
个人记录一、Web安全验证输入验证防范跨站脚本XSS攻击防止SQL注入图片验证码二、输入验证经典的安全法则:永远不要相信用户提交的数据验证内容:用户名,密码等格式验证长度防止数据库溢出错误邮件,手机,邮编等格式客户端:主要通过JavaScript来验证,过滤用户输入服务器端:检测用户输入的合法性,强...
分类:
Web程序 时间:
2015-02-22 21:52:15
阅读次数:
241
同源策略/SOP(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击(可以参考我的这篇文章)。SOP要求两个通讯地址的协议、域名、端口号必须相同,否则两个地址的通讯将被浏览器视为不安全的,并被block下来...
分类:
Web程序 时间:
2015-02-19 15:04:52
阅读次数:
321
‘>=’>%3Cscript%3Ealert(‘XSS’)%3C/script%3E%0a%0a.jsp%22%3cscript%3ealert(%22xss%22)%3c/script%3e%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/p...
分类:
其他好文 时间:
2015-02-13 16:10:07
阅读次数:
863
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。那么,Token有什么作用?又是什么原理呢?Token一般用在两个地方——防止表单重复提交、anti csrf攻击(跨站点请求伪造)。两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会...
分类:
Web程序 时间:
2015-02-12 18:00:35
阅读次数:
322
