简介:CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSR...
分类:
其他好文 时间:
2014-07-23 14:54:56
阅读次数:
246
1. 识别脆弱点 http://www.site.com.tr/uyg.asp?id=123'+union+selec+1,2,3-- http://www.site.com.tr/uyg.asp?id=123' http://www.site.com.tr/uyg.asp?id=1232. HTT...
分类:
数据库 时间:
2014-07-22 22:41:54
阅读次数:
485
全局变量和局部变量
计算属性和属性监视器所描述的模式也可以用于全局变量和局部变量,全局变量是在函数、方法、闭包或任何类型之外定义的变量,局部变量是在函数、方法或闭包内部定义的变量。
前面章节提到的全局或局部变量都属于存储型变量,跟存储属性类似,它提供特定类型的存储空间,并允许读取和写入。
另外,在全局或局部范围都可以定义计算型变量和为存储型变量定义监视器,计算型变量跟计算属性一样...
分类:
其他好文 时间:
2014-07-22 14:36:04
阅读次数:
405
在Form中添加@Html.AntiForgeryToken();在后台的Action中增加[ValidateAntiForgeryToken]这个方法还可以添加自定义的参数@Html.AntiForgeryToken("SaltValue");后台的Action中,必需指名Token的值才允许正常...
分类:
Web程序 时间:
2014-07-17 11:13:31
阅读次数:
192
http://bbs.aliyun.com/read/137391.html "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)",);$args_arr = array( 'xs...
分类:
数据库 时间:
2014-07-16 18:34:05
阅读次数:
566
消除不受信任的HTML (来防止XSS攻击)在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。使用jso...
分类:
Web程序 时间:
2014-07-16 17:48:54
阅读次数:
312
加密的方式:两大类1.对称加密操作系统加密passwordhtpassword(apache)加密和解密是一样的加密算法md5sha1没必要再解回来2.非对称加密sshkey公钥,私钥公钥随便发私钥不能发公钥交换算法web应用攻击主要是XSS攻击和SQL注入攻击XSS跨站点脚本攻击篡改网页,注入恶意HTML脚本,..
分类:
其他好文 时间:
2014-07-15 11:59:26
阅读次数:
214
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修...
分类:
Web程序 时间:
2014-07-14 09:51:30
阅读次数:
257
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval...
分类:
Web程序 时间:
2014-07-14 09:22:12
阅读次数:
308