在刚刚完成的一个ASP.NET项目中,遇到了这么一个问题,项目部署到生产环境中时,领导要求项目中的配置文件(如web.config,app.config)中不能出现敏感字符,如:数据库连接,等等。 第一个想到的方法是,写一个加密解密算法,将这些配置文件中的值以密文的方式存到config文件中,代码中 ...
分类:
Web程序 时间:
2018-02-08 11:05:35
阅读次数:
176
查看源码,用户名和密码通过post提交 加单引号提交 出现报错,推测对应的SQL语句 直接使用or构造永真登录 成功,注意此处登录的用户为表中的第一个用户 需要改变用户可以通过改变筛选条件实现 作为表中的第二个用户登录 如果在客户端进行了敏感字符的输入限定,可以直接使用hackbar提交POST数据 ...
分类:
数据库 时间:
2018-01-20 00:57:01
阅读次数:
228
转载地址:http://www.cnblogs.com/xdp-gacl/p/3952405.html 在filter中可以得到代表用户请求和响应的request、response对象,因此在编程中可以使用Decorator(装饰器)模式对request、response对象进行包装,再把包装对象传 ...
分类:
编程语言 时间:
2018-01-10 20:27:34
阅读次数:
354
身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了SQL,执行查询,搞定。若有一天你不可避免的需要提高SQL的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是 ...
分类:
其他好文 时间:
2017-09-25 13:16:09
阅读次数:
152
function fn(name) { var jc = ["敏感字符", "广电总局"]; var gc = ["*****", "****"]; if(typeof(name) "string") { for(var j = 0; j < jc.length; j++) { for(var i ...
分类:
其他好文 时间:
2017-07-20 13:38:30
阅读次数:
138
正则表达式是一个描述模式的字符串。正则表达式有三种用法:匹配;替换;把字符串拆分成小块字符组成的数组。 基础 /cow/ 把要匹配的字符串写在/ /中 ^ 表示必须匹配到字符串开头 $ 表示必须匹配到字符串结尾 . 可以匹配任意字符 除了\n 正则表达式对大小写敏感 字符类 [abcde] 通过[] ...
分类:
其他好文 时间:
2017-05-17 21:03:36
阅读次数:
134
原理:恶意Web用户将代码植入到提供给其它用户使用的页面中,如果程序没有经过过滤或者过滤敏感字符不严密就直接输出或者写入数据库。合法用户在访问这些页面的时候,程序将数据库里面的信息输出,这些恶意代码就会被执行。 大概流程是,建立一个用于发表评论的网页,然后XSS攻击者通过XSS漏洞进行攻击获取其他访 ...
分类:
其他好文 时间:
2017-04-03 15:26:57
阅读次数:
301
1.clrf 注入攻击. 原理:http数据包通过\r\n\r\n来分开http header何http body 实现:首先这种攻击发生在应用层,且发生在服务器返回给我们的http reponse没有经过敏感字符的过滤,我们能够构造攻击语句来控制服务器的http响应.以下为例子: 1、Twitte ...
分类:
其他好文 时间:
2017-03-30 23:04:22
阅读次数:
1722
XSS编码与绕过 0x00 背景 对于了解web安全的朋友来说,都知道XSS这种漏洞,其危害性不用强调了。一般对于该漏洞的防护有两个思路:一是过滤敏感字符,诸如【<,>,script,(,'】等,另一种是对敏感字符进行html编码,诸如php中的htmlspecialchars()函数。 一般情况, ...
分类:
其他好文 时间:
2017-03-06 01:09:55
阅读次数:
2510
