一、列举一些PHP的设计模式 单例模式:保证在整个应用程序的生命周期中,任何一个时刻,单例类的实例都只存在一个,同时这个类还必须提供一个访问该类的全局访问点。 工厂模式:定义一个创建对象的接口,但是让子类去实例化具体类。工厂方法模式让类的实例化延迟到子类中。 观察者模式:观察者模式有时也被称作发布/ ...
分类:
Web程序 时间:
2020-02-18 20:16:53
阅读次数:
713
案例三:Xss获取键盘记录 先简单介绍一下跨域 跨域:http:// www . gxy.com :8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机、端口的任意一个不相同时,称不同域 将不同域之间的请求数据操作,称跨域操作 下面这些标签可以跨域加载资源 ...
分类:
其他好文 时间:
2020-02-17 22:36:50
阅读次数:
152
'><script>alert(document.cookie)</script>='><script>alert(document.cookie)</script><script>alert(document.cookie)</script><script>alert(vulnerable)</s ...
分类:
其他好文 时间:
2020-02-17 16:07:37
阅读次数:
64
作者:w7ay@知道创宇404实验室时间:2020年2月12日原文地址:https://paper.seebug.org/1119/为了实现自动刷SRC的目标,过年前就开始对w13scan的xss扫描功能进行优化,灵感来源于xray所宣称的基于语义的扫描技术。之前xss扫描是参考w3af中的源码,原理也很简单就是暴力的使用xss的payload进行请求,最后在返回文本中查找关键字,xsspaylo
分类:
其他好文 时间:
2020-02-17 09:24:08
阅读次数:
64
escape 过滤器来过滤link,而实际上这里的 escape 过滤器,是用PHP内置函数 htmlspecialchars 来实现的 htmlspecialchars 函数定义如下: htmlspecialchars :(PHP 4, PHP 5, PHP 7) 功能 :将特殊字符转换为 HTM ...
分类:
编程语言 时间:
2020-02-16 22:15:36
阅读次数:
338
XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWA ...
分类:
其他好文 时间:
2020-02-16 16:18:29
阅读次数:
69
CSRF 在CSRF攻击场景中攻击者会伪造一个请求 (一个链接) 然后欺骗目标用户点击,用户一旦点击了这个请求,整个攻击也就完成了 所以CSRF攻击也被称为“one click“攻击 例子: 想要修改lucy购物地址信息 lucy必须处于登录的状态,lucy必须点击攻击链接 xss和csrf区别: ...
分类:
其他好文 时间:
2020-02-14 20:29:28
阅读次数:
78
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中 ...
分类:
其他好文 时间:
2020-02-14 16:58:30
阅读次数:
81
1、CSRF攻击: CSRF(Cross-site request forgery):跨站请求伪造。 (1)、攻击原理: 如上图,在B网站引诱用户访问A网站(用户之前登录过A网站,浏览器 cookie 缓存了身份验证信息), 通过调用A网站的接口攻击A网站。 (2)、防御措施: 1)token验证: ...
分类:
Web程序 时间:
2020-02-14 01:01:21
阅读次数:
100
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQ ...
分类:
Web程序 时间:
2020-02-13 20:57:06
阅读次数:
109
