CSRF(Cross-site request forgery)跨站请求伪造 主角:用户(浏览器),正常网站,恶意网站 过程:1.用户通过浏览器打开正常网站,并登录; 2.正常网站web服务器给用户发来cookie,保存在用户的浏览器; 3.用户在没有退出登录且没有关闭网页且会话没有超时的情况下,访 ...
分类:
其他好文 时间:
2018-11-06 19:27:55
阅读次数:
118
0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。 网站是通过cookie ...
分类:
其他好文 时间:
2018-11-05 17:29:01
阅读次数:
228
一. 什么是CSRF?CSRF(Cross-Site Request Forgery)直译的话就是跨站点请求伪造也就是说在用户会话下对某个需要验证的网络应用发送GET/POST请求——而这些请求是未经用户允许并且用户未必愿意做。 举例先:用户小a是某论坛的管理员,刚刚用他的用户名、密码登录了该论坛。 ...
分类:
Web程序 时间:
2018-11-05 17:24:00
阅读次数:
257
XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤。 1、输入与输出 在HTML中,<,>,",',&都有比较特殊的意义。HTML标签,属性就是由这几个符合组成的。PHP中提供了 htmlspecialchars()、htmlentities()函数可以把一些预定的字符转换为HTML实体。 &成 ...
分类:
其他好文 时间:
2018-11-04 00:25:49
阅读次数:
192
xss又叫css,为了与前端的css区别,所以叫xss,即跨站脚本攻击。 XSS原理解析 XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。 javascript可以获取用户的cookie、改变网页内容、URL跳 ...
分类:
其他好文 时间:
2018-11-02 00:19:09
阅读次数:
266
Cross-SiteTrace(XST)跨站式追踪***漏洞介绍XST***是利用服务器的调试方法Trace进行用户信息收集的一种***,因为Trace方法是会导致服务器原样返回客户端发送的内容(cookie,HTTP认证信息等)***者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制
分类:
其他好文 时间:
2018-10-30 18:46:50
阅读次数:
190
1. XSS 跨站请求攻击 场景: 新浪博客写文章,同时偷偷插入一段<script>脚本 攻击代码中,获取cookie,发送至自己的服务器 发布博客,有人查看博客内容 会把查看者的cookie发送到攻击装的服务器 预防: 1.前端替换关键字 < 为 < > 为 > 2.后端替换 2.XSR ...
分类:
其他好文 时间:
2018-10-23 16:25:28
阅读次数:
109
https://www.cnblogs.com/phpstudy2015-6/p/6767032.html 阅读目录 1、简介 2、原因解析 3、XSS攻击分类 3.1、反射型xss攻击 3.2、存贮型xss攻击 3.3、DOMBasedXSS(基于dom的跨站点脚本攻击) 4、XSS攻击实例分析 ...
分类:
其他好文 时间:
2018-10-22 17:46:05
阅读次数:
217
原文地址:lewis1990@amoy axios 基于promise用于浏览器和node.js的http客户端 特点 支持浏览器和node.js 支持promise 能拦截请求和响应 能转换请求和响应数据 能取消请求 自动转换JSON数据 浏览器端支持防止CSRF(跨站请求伪造) 安装 npm安装 ...
分类:
移动开发 时间:
2018-10-18 20:49:19
阅读次数:
166
主要内容: 1 csrf中间件: csrf跨站请求伪造 a : crsf的两个静态方法: csrf_exempt : 给单个视图排除校验 csrf_protect: 给单个视图必须校验 b : csrf的请求流程: 从process_request方法: 从请求的cookie中获取csrf_toke ...
分类:
Web程序 时间:
2018-10-16 21:58:03
阅读次数:
190
