1、绕过过滤 a、利用标记注入HTML/JavaScript :所以过滤的就是或注:这里不用ie低版本了;更多的可以进行变形 d、对标签属性值转码 HTML Characters编码; e、产生自己的事件 其余的事件: onResume onReverse onRowD...
分类:
其他好文 时间:
2014-09-21 18:15:30
阅读次数:
321
最近一直在研究XSS的攻防,特别是dom xss,问题慢慢的迁移到浏览器编码解码顺序上去。今儿被人放鸽子,无奈在KFC看了两个小时的资料,突然有种豁然开朗的感觉。参考资料先贴出来:1.http://www.freebuf.com/articles/web/43285.html2.http://www...
分类:
Web程序 时间:
2014-09-21 01:39:39
阅读次数:
399
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊一、跨站脚本攻击(XSS...
分类:
数据库 时间:
2014-09-19 22:28:36
阅读次数:
379
XSS全称cross-site scripting攻击指的是攻击者往Web页面里插入恶意html标签或者JavaScript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。比如:(1)点击一个看起来安全的链接...
分类:
其他好文 时间:
2014-09-19 18:58:55
阅读次数:
146
许多Web应用程序提供的功能将数据从其他Web服务器,由于种种原因。下载XML提要,从远程服务器,Web应用程序可以使用用户指定的URL,获取图像,此功能可能会被滥用,使制作的查询使用易受攻击的Web应用程序作为代理运行在远程攻击其他服务的基于文本的文件等。 /本地服务器。通过这种滥用而产生的功能被...
分类:
其他好文 时间:
2014-09-18 09:44:53
阅读次数:
243
XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。XSScrapy的XSS漏洞攻击测试向量将会覆盖Http头中的Referer字段User-Agent字段Cookie表单(包括隐藏表单)URL参数RUL末尾,如www.example.co...
分类:
其他好文 时间:
2014-09-17 11:45:42
阅读次数:
204
1,Web 应用十大安全隐患
1) SQL 注入 2) 跨站脚本攻击XSS (Cross Site Scripting) 3) 遭破坏的认证和会话管理 4) 不安全的对象直接引用 5) 伪造跨站请求(CSRF)
6) 安全误配置(Security Misconfiguration) 7) 限制远程访问失败(Failure to Restrict URL Access) 8) 未验证的...
分类:
其他好文 时间:
2014-09-16 19:04:20
阅读次数:
274
参考:http://www.myhack58.com/Article/html/3/7/2012/36142_6.htmhttp://blog.csdn.net/jasontome/article/details/7215468
分类:
数据库 时间:
2014-09-16 18:51:00
阅读次数:
467
1、xss是什么? XSS攻击:跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。 在跨站点脚本攻击中,恶意代码在受影响用户的浏览器端执行,并对用户的影响。2、xss可以干嘛? 弹框,很多人都觉得这个很好玩(仅仅是为了验证XSS攻击的存在); 盗...
分类:
其他好文 时间:
2014-09-16 15:53:20
阅读次数:
232
'>='>%3Cscript%3Ealert('XSS')%3C/script%3E%0a%0a.jsp%22%3cscript%3ealert(%22xss%22)%3c/script%3e%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/p...
分类:
其他好文 时间:
2014-09-15 17:32:30
阅读次数:
278
