面试题:你所了解的web攻击? 1、xss攻击 2、CSRF攻击 3、网络劫持攻击 4、控制台注入代码 5、钓鱼 6、DDoS攻击 7、SQL注入攻击 8、点击劫持 一、xss攻击 XSS攻击:跨站脚本攻击(Cross Site Scripting),攻击目标是为了盗取存储在客户端的cookie或者 ...
分类:
Web程序 时间:
2020-01-03 21:29:24
阅读次数:
142
下午考试跟上午一样满分75分,45分就合格。下午试题是简答题。 下午的考试有时候是4道题有时候是5道题;有时候出5道题,1、2题必做,3、4、5三道题选择2道题做。 下午试题分值:20*3或者15*5. 视频考点: 1.白盒测试:逻辑覆盖(路径、判定、条件)、基本路径覆盖(控制流图、线性无关路径、V ...
分类:
其他好文 时间:
2020-01-03 00:12:36
阅读次数:
126
什么是csrf(跨站请求伪造) 伪造请求的定义有很多种,我将不是用户本意发出的请求统称为伪造请求(在用户不知情的情况下执行某些操作)xss的通过用户对浏览器的信任造成的,csrf是通过服务器对浏览器的信任造成的 csrf的原理及过程: 假设有a用户和b网站c网站 c网站为恶意网站 a用户正常登录b网 ...
分类:
其他好文 时间:
2020-01-01 15:19:52
阅读次数:
89
什么是xss注入: xss通常就是通过巧妙的方法注入指令到指定页面,使用户加载执行的恶意的js(或者其他类型)的代码,攻击者会获取用户的一系列信息,如cookie等,从而进行其他用户信息的盗取 为什么会产生xss: 和sql注入一样,对用户输入的绝对信任,没有对用户输入做绝对的过滤 xss注入实现: ...
分类:
其他好文 时间:
2020-01-01 13:38:10
阅读次数:
94
1.前言 有些时候我们需要在 Spring Boot Servlet Web 应用中声明一些自定义的 Servlet Filter 来处理一些逻辑。比如简单的权限系统、请求头过滤、防止 XSS 攻击等。本篇将讲解如何在 Spring Boot 应用中声明自定义 Servlet Filter 以及定义 ...
分类:
编程语言 时间:
2019-12-31 14:48:28
阅读次数:
83
XSS Challenges http://xss-quiz.int21h.jp/ Stage #1 注入alert(document.domain),先试一试输入后会返回什么; 返回在标签中,直接尝试输入payload; Stage #2 测试一下返回; 可以发现,test返回在value属性里, ...
分类:
其他好文 时间:
2019-12-28 16:23:27
阅读次数:
79
XSS(跨站脚本)概述Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP ...
分类:
其他好文 时间:
2019-12-27 10:07:01
阅读次数:
122
常见安全问题 跨站脚本攻击XSS 跨站请求伪造攻击CSRF 前端Cookies安全性 点击劫持攻击 传输过程安全问题 用户密码安全问题 SQL注入攻击 XSS(Cross Site Scripting)跨站脚本攻击介绍 什么是XSS web攻击的一种,通过对网页注入可执行代码(html代码或JS代码 ...
分类:
其他好文 时间:
2019-12-25 20:25:51
阅读次数:
85
反射型XSS(get): 不会进行过滤。 前端对输入长度做了限制,我们需要修改一下才能输入完整的payload。 我们输入的payload嵌入了到了 p 标签里面,被浏览器正确执行了 反射型XSS(post): 参数内容不会出现在URL中 存储型xss: 不会进行过滤 输入 DOM型XSS: 查看源... ...
分类:
Web程序 时间:
2019-12-24 23:53:55
阅读次数:
167
hover:class :定义容器在被触发时的样式 通常无用,但若不去除则影响用户体验; 为避免被覆盖,约定在wxss底部添加class,比如: <!-- wxml --> <navigator class="index-nav_box" hover-class="noshadow"> <image ...
分类:
微信 时间:
2019-12-23 19:22:03
阅读次数:
459
