什么是WebGoat?引用一下OWASP官方介绍:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏..
分类:
Web程序 时间:
2014-11-12 18:07:19
阅读次数:
215
xss定义: xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 XSS 全称“跨站脚本”,是注入攻击的一种。其特点.....
分类:
其他好文 时间:
2014-11-11 18:42:41
阅读次数:
267
云空间也可以叫做云平台,是以云计算技术而开发的网络服务平台,云计算平台可以划分为3类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。云空间与传统的虚拟主机相比有非常大的不同,主要表现在空间管理方法、代码运行方式和应用开发等方面有非常大的不同,很...
分类:
其他好文 时间:
2014-11-11 14:09:33
阅读次数:
252
《JavaScript高级程序设计 》《犀牛书》《悟透JavaScript》《JavaScript与模式》《JavaScript语言精粹》《JavaScript框架设计》XSS和白帽子也了解了解大漠大叔最后深情的说道:记得买一本《颈椎病康复指南》先放着,总有一天你会用到知识点定时器与eval的函数在...
分类:
其他好文 时间:
2014-11-11 10:36:47
阅读次数:
315
转载来自于:http://blog.csdn.net/cpytiger/article/details/8781457一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session ridi....
分类:
Web程序 时间:
2014-11-10 17:12:24
阅读次数:
594
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 ”> (7)formCharCode标签(计算器) (8)UTF-8...
分类:
其他好文 时间:
2014-11-09 17:53:55
阅读次数:
135
在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来...
分类:
Web程序 时间:
2014-11-07 16:35:42
阅读次数:
251
1. 最近在用python的flask框架写东西,顺便把httponly的作用拿出来说下,主要是防止XSS漏洞攻击。 以下hello.py都是用flask写的 2. 代码里加入两个cookie值,其中一个带有httponly标签,另一个不带httponly标签。...
分类:
Web程序 时间:
2014-11-06 20:20:40
阅读次数:
316
在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能。 commons-lang常用工具类StringEscapeUtils使用 - wjoygz - pauls private zone 1.escape...
分类:
其他好文 时间:
2014-11-06 17:54:59
阅读次数:
212
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。
为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa...
分类:
其他好文 时间:
2014-11-06 17:27:12
阅读次数:
389
