最近放假在家确实无聊 看爱情公寓甚至追不上vip的进度 所以在知乎上看了下web安全入门的网课 再结合现在的项目理解了一下这些地方的应用 最基础的就是OWSAP TOP 10 也就是10种比较常见的web应用的攻击方式 首先比较低级的注入和跨站攻击这些都能从前后端进行防范 sql注入在现在的一些官方 ...
分类:
Web程序 时间:
2020-01-31 12:29:41
阅读次数:
101
CSRF Cross Site Request Forgy 跨站请求伪造 需要条件 用户登录 A 网站 A 网站确认身份 B 网站页面向 A 网站发起请求(带 A 网站身份) CRSF 攻击危害 利用用户登录态 盗取用户资金(转账,消费) 用户不知情 冒充用户发帖背锅 完成业务请求 损坏网站名誉 . ...
分类:
其他好文 时间:
2020-01-30 21:19:11
阅读次数:
108
前言 关于XSS基础内容请查看:https://www.cnblogs.com/xhds/p/12239527.html 实验平台采用DWVA v1.10 XSS(Reflected)反射性XSS漏洞 XSS( Reflected) Vulnerability: Reflected Cross Si ...
分类:
其他好文 时间:
2020-01-29 21:25:53
阅读次数:
71
0x00 XSS漏洞简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当 ...
分类:
Web程序 时间:
2020-01-29 12:24:41
阅读次数:
111
前言 XSS漏洞 Xss(Cross-Site Scripting)意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS漏洞是一种在WEB应用中常见的安全漏洞,它孕育用户将恶意代码植入web页面,当其他用户访问此 ...
分类:
其他好文 时间:
2020-01-29 10:44:55
阅读次数:
87
0x00 知识点 SSTI模板注入: 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server Side Template Injection) 0x01模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业 ...
分类:
其他好文 时间:
2020-01-28 21:23:22
阅读次数:
180
关闭防跨站攻击(open_basedir)即可! 把钩打掉,记得重启一下php服务哦~即可! ...
分类:
其他好文 时间:
2020-01-28 09:25:13
阅读次数:
77
XSS 存在的三个条件 网站应用程序必须接受用户的输入信息 用户的输入会被网站用来创建动态内容 用户的输入验证不充分 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击 输入过滤 使用黑名单,从用户的输入中删除 <scrip ...
分类:
Web程序 时间:
2020-01-27 15:25:37
阅读次数:
83
XSS攻击即为(Cross Site Scripting), 中文为跨站脚本。 之所以它的名字不是CSS而是XSS,是为了区分CSS。 XSS攻击是发生在目标用户的浏览器上的,当渲染DOM树的过程中执行了不该执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不是“跨站”,而是“脚本” 页面执行不该 ...
分类:
Web程序 时间:
2020-01-27 15:23:08
阅读次数:
149
什么是 CSRF Cross-site request forgery( 跨站请求伪造 ) CSRF 利用服务器对用户浏览器的信任 被攻击网站依赖用户的身份认证 攻击者使得用户的浏览器发送 HTTP 请求到目标网站 CSRF 的步骤(用户浏览器主动完成) 攻击者确定目标网站(存在CSRF漏洞的网站: ...
分类:
Web程序 时间:
2020-01-27 12:38:32
阅读次数:
92
