1、在OpenResty中添加naxsi加强防御 安装方法 2、防止SQl注入的思路和方法 MySQL安全问题(防范必知) "https://www.cnblogs.com/chenqionghe/p/4873665.html" 3、在绝大多数位置,加上代码级判断,多重拦截攻击 package SQ ...
分类:
数据库 时间:
2020-03-07 20:45:53
阅读次数:
94
StringEscapeUtils类可以对html js xml sql 等代码进行转义来防止SQL注入及XSS注入 添加依赖 <dependency> <groupId>commons-lang</groupId> <artifactId>commons-lang</artifactId> <ve ...
分类:
数据库 时间:
2020-03-06 17:50:54
阅读次数:
221
React中是不解析直接从后台拿到的html格式的代码,因为是要防止XSS攻击。什么是XSS攻击,在下一个博客里面出现。所以要让react解析从后台拿到的html格式的代码就要用到以下代码,话不多说: import React from 'react' class IndexCom extends ...
分类:
Web程序 时间:
2020-03-05 15:03:57
阅读次数:
125
0x00前言 开始从小的漏洞开始练习,搬运项目地址: https://github.com/imsebao/Code Audit 0x01 Dedecms是一款开源的PHP开源网站管理系统。 Dedecms会员功能carbuyaction.php中的address、des、email、postnam ...
分类:
其他好文 时间:
2020-03-05 13:48:59
阅读次数:
65
0x00前言 开始从小的漏洞开始练习,搬运项目地址: https://github.com/imsebao/Code Audit 0x01 Catfish(鲶鱼) Blog前台文章评论处存在 存储型xss漏洞。 在 application\index\controller\index.php 文件第 ...
分类:
其他好文 时间:
2020-03-05 13:11:29
阅读次数:
71
注入的本质就是:把用户的输入的数据当作代码执行。xss注入的关键:1、第一个是用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据xss主要拼接的是什么? sql注入拼接的是操作数据库的sql语句。xss拼接的是网页的html代码。我们一般会拼接出合适的html代码去执行恶意的js语句。 ...
分类:
其他好文 时间:
2020-03-05 13:04:35
阅读次数:
63
CSRF简介: CSRF(跨站请求伪造),全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务 ...
分类:
其他好文 时间:
2020-03-04 17:30:13
阅读次数:
79
云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云计算平台可以划分为3类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。 云平台一般具备如下特征: 硬件管理对使用者/购买者高度抽象:用户根本不知道数据是在位于 ...
分类:
Web程序 时间:
2020-03-04 12:38:27
阅读次数:
670
