XSS简述 Cross-Site Scripting 跨站脚本 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制 ...
分类:
其他好文 时间:
2020-03-30 23:13:51
阅读次数:
76
如上图,我们获取到了cookie,接下来利用cookie登录相应的网站。 我用的浏览器是火狐,首先在特定的网站(也就是我们发现XSS漏洞的网站,这里指的是pikachu)F12打开开发者工具,找到控制台,在最下面输入: document.cookie = "PHPSESSID=ku7dfhu5cbi ...
分类:
Web程序 时间:
2020-03-29 18:02:52
阅读次数:
104
微信小程序出现引发了很多讨论,许多开发者都跃跃欲试尝试了小程序的开发。它重新定义了自身的一套开发规范,对于现有的html页面是不支持了。 为此我们设想了一套方案,怎么最快速的把现有的开发流接入到小程序中,并能快速的修改现有html项目以符合微信小程序的规范?于是写了一套html暴力转译成wxml的方 ...
分类:
微信 时间:
2020-03-28 20:12:12
阅读次数:
163
JVM常用参数 Xss:每个线程的栈大小 Xms:堆空间的初始值 Xmx:堆空间最大值、默认为物理内存的1/4,一般Xms与Xmx最好一样 Xmn:年轻代的大小 XX:NewRatio :新生代和年老代的比例 XX:SurvivorRatio :伊甸园区和幸存区的占用比例 XX:PermSize:设 ...
分类:
其他好文 时间:
2020-03-27 10:37:53
阅读次数:
73
栈相关面试题 举例栈溢出的情况?(Stack Overflow):固定大小栈的栈帧爆掉 通过-Xss设置栈的大小:OOM ,可变大小栈扩容时,没有更多的内存可供扩容 调整栈大小,就能保证不溢出吗? 不能,如果自己调用自己(递归)的话,栈空间大可以多跑,在一定程度上可以抱保证递归类问题递的更深,死循环 ...
分类:
其他好文 时间:
2020-03-25 23:18:01
阅读次数:
73
浏览器的同源策略:协议相同、域名相同、端口相同。所有浏览器厂商遵循这种策略。 非同源(跨域)共有三种行为受到限制: cookie、localstorage、和IndexDB无法获取 DOM无法获取 ATAX请求不能发送 这种同源性会有效的阻止CSRF(跨站请求)攻击。 浏览器请求分为两种:(CORS ...
分类:
其他好文 时间:
2020-03-25 21:43:44
阅读次数:
60
CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人 ...
分类:
其他好文 时间:
2020-03-25 21:13:55
阅读次数:
76
跨域的概念 由于浏览器的同源策略,为了防范跨站脚本的攻击,禁止客户端脚本对不同域下的文档或脚本进行跨站调用资源。 怎么解决跨域问题 安装插件 >: pip install django-cors-headers 插件参考地址:https://github.com/ottoyiu/django-cor ...
分类:
其他好文 时间:
2020-03-24 21:43:59
阅读次数:
73
一丶XSS漏洞成因及原理 XSS也叫Cross Site Script,因为和CSS重名,所以改名XSS。 通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是 跨域的,所以叫“跨站脚本”。但是发展到今天,由于Ja ...
分类:
其他好文 时间:
2020-03-24 19:00:48
阅读次数:
182
web常见攻击手段 我只会大概提及它的攻击原理和预防方法,具体的实现和深入研究还请大家自行百度,因为只有真正需要用到才会去详细了解,这里我只为web安全小白做知识扫盲。因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲。 跨站脚本攻击(XSS) 虽然我们目前做的是一个博客 ...
分类:
Web程序 时间:
2020-03-23 17:24:37
阅读次数:
87
