1、往项目web.xml中增加以下的代码:XssFiltercom.jf.app.utils.XssFilterXssFilter/*2、网上下载一个jar包:jsoup-1.7.2.jar并引入至项目。3、往项目增加两个类:XssFilter.java和XssHelper.java。百度下,有很多...
分类:
其他好文 时间:
2014-12-29 11:37:46
阅读次数:
151
2015在即,国外媒体评出2014年的网络安全十大事件。见下:一、eBay两次被黑2014年,对于遭遇多次安全事件的eBay来说,可不是一个好年份。今年九月,eBay受到跨站脚本攻击,导致向其部分用户发送恶意网站以窃取用户凭证。有报道称,eBay公司应对安全问题异常缓慢,从首个用户向易贝反映问题开始...
分类:
其他好文 时间:
2014-12-28 14:13:25
阅读次数:
215
偶平时在做安全测试时,一般是以发现问题为主,点到为止,但做安全的同学可能也遇到过这样的问题,当你尝试向开发的同学描述一个漏洞危害怎么怎么样的时候,双方经常会有一种鸡同鸭讲的感觉,甚至他们觉得我们在夸大其词去影响他们去修复,其实面对开发的同学的质疑,我也觉得合理,毕竟你用XSS去弹个框,能说明什么呢?...
分类:
其他好文 时间:
2014-12-28 11:32:32
阅读次数:
214
这是在测试YS“本地相册”功能时发现的一个反射型XSS,自己在安全测试过程中也发现过不少XSS漏洞,唯独这个的发现过程有点区别。 在此之前,我在测试另外一个模块的功能接口的时候发现了一个反射型XSS,当我在测试“本地相册”这个功能的时候,当我用burp拦截到HTTP请求时,发现该请求有3个参数,仔细...
分类:
其他好文 时间:
2014-12-25 20:18:26
阅读次数:
133
针对 PHP 的网站主要存在下面几种攻击方式::1、命令注入(Command Injection)2、eval 注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL 注入攻击(SQ...
分类:
Web程序 时间:
2014-12-25 19:58:20
阅读次数:
306
发现问题
最近我们的服务器频繁的遭到黑客攻击,真是让人头疼啊,痛定思痛,仔细想想为什么我们会被攻击呢,肯定是我们的代码有漏洞啊,那么我们如何检测我们站点的漏洞呢,首先比较大众的就是通过360网站安全检测(http://webscan.360.cn/),但是发现这个太简单了,不够专业,那么我们再来一个专业的Acunetix
Web Vulnerability Scanner,这个软件是收费的,...
分类:
编程语言 时间:
2014-12-22 19:41:03
阅读次数:
482
在FCK或百度编辑器等常用富文本编辑器中,通常是会被XSS攻击处理方法:文本框模拟输入了以下文本我是一个span我是一个p我是一个b我是一个a过滤文本ShareCommon.ComXSS x = new ShareCommon.ComXSS();txtNew.Text = x.filter(txtO...
分类:
其他好文 时间:
2014-12-22 16:02:41
阅读次数:
123
关联:征服 Ajax 应用程序的安全威胁AJAX 跨域请求 - JSONP获取JSON数据跨站脚本在媒体的帮助下,跨站脚本(XSS)成为了大家关注的焦点,当然它是绝对应当关注的。XSS 是 web 应用中最常见的安全隐患,许多流行的开放源代码的 PHP 应用程序受到 XSS 隐患的困扰。XSS 攻击...
分类:
其他好文 时间:
2014-12-21 19:22:34
阅读次数:
202
