点击 “通讯录”---->“工具” ---- >导入其他邮箱联系人 在邮箱账号处添加我们的测试代码: 1. <IMG?SRC=#?onmouseover="alert(‘F1n4lly‘)"> 2. <a?onmouseover=alert(document.cookie)>xxs?link</a> 更多有...
分类:
其他好文 时间:
2014-10-20 03:27:53
阅读次数:
319
一、网络安全机密性(加密)、完整性(防伪造)、来源可靠性(签名)程序漏洞二、web前端安全XSS:Cross Site Script(跨站攻击脚本)往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行。XSS的种类:1.XSS-基于DOM的XSS产生原因:...
分类:
其他好文 时间:
2014-10-17 15:11:08
阅读次数:
142
例如,我们的属性钩子只考虑了 setAttribute,却忽视还有类似的 setAttributeNode。尽管从来不用这方法,但并不意味人家不能使用。
例如,创建元素通常都是 createElement,事实上 createElementNS 同样也可以。甚至还可以利用现成的元素 clone...
分类:
其他好文 时间:
2014-10-16 17:43:12
阅读次数:
255
一、标题:关于Cookie安全性设置的那些事 副标:httponly属性和secure属性解析二、引言经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下...2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读这篇文章:js于co...
分类:
其他好文 时间:
2014-10-14 14:30:08
阅读次数:
195
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateR...
分类:
其他好文 时间:
2014-10-13 12:21:59
阅读次数:
197
当技术达到一定的地步之后, 思维是关键 把一些基础的技术组合起来,运用起来, 而不是在去学习新的技术像我现在来讲,已经能看懂一些PHP 了, xss+csrf 或者php审计更契合当前的技术。 python +EXP 的编写和爬虫组合更棒, 而不是直接去学新的技术liunx是需要掌握 ,LIUNX是...
分类:
其他好文 时间:
2014-10-10 23:44:14
阅读次数:
284
这种方法不算新,可是很少人用,也很少人能想得到。data:类似于javascript.:,在很大程度上,可以完成javascript的工作.举一个例子:进行XSS测试时,发现javascript与script等关键字都被过滤了(现在一般有点XSS意识的管理员都懂得过滤这两个关键字)。可用下面的语句:...
分类:
其他好文 时间:
2014-10-10 17:00:34
阅读次数:
174
XSS漏洞依照攻击利用手法的不同,有下面三种类型:类型A,本地利用漏洞,这样的漏洞存在于页面中client脚本自身。其攻击步骤例如以下所看到的:Alice给Bob发送一个恶意构造了Web的URL。Bob点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在...
分类:
其他好文 时间:
2014-10-08 15:55:35
阅读次数:
1110
前言 虽然本文是基于YII1.1,但其中提到的安全措施适用于多数web项目安全场景,所以翻译此文,跟大家交流。原文地址。 目录 安全基本措施... 2 验证与过滤用户的输入信息... 2 原理... 2 客户端验证... 2 YII如何防范... 2 跨站脚本攻击XSS. 4 原理... 4 YII...
分类:
Web程序 时间:
2014-10-06 16:56:50
阅读次数:
661
