1、基本概念和缩写 2、攻击原理 3、防御措施 XSS:跨站脚本攻击 cross-site scripting 原理:向页面注入脚本,比如评论区,写入script 防御: 编码:对用户输入的数据进行 HTML Entity编码 过滤:移除用户删除的DOM属性,如onerror等;移除用户上传的sty ...
分类:
Web程序 时间:
2018-03-03 21:52:36
阅读次数:
212
最近我们课程,有个老师需要我帮忙搭建做一个越权攻击的实验。就随手倒腾起burpsuite;最近时间逐渐也比较多了,发现web安全工程师基础入门课程,讲师在第七课对于burpsuite的细节并没有掌握的很好,在浏览器代理操作过程,一直卡在无法顺利抓捕数据包,有点尴尬。 同时我也好久好久不做安全有关的事 ...
分类:
其他好文 时间:
2018-03-01 14:47:55
阅读次数:
6638
XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击,有效的防护方法就是对输出和输入均做到有效的过滤,如HTML编码,JS转义等手段。 ...
分类:
Web程序 时间:
2018-02-24 23:07:56
阅读次数:
264
未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。 ...
分类:
Web程序 时间:
2018-02-24 23:05:06
阅读次数:
244
SQL盲注,与普通的SQL注入相比,数据库返回的结果不会显示在页面上,只会返回成功/失败或者真/假,这无形中加大了我们注入的难度。 ...
分类:
数据库 时间:
2018-02-24 23:02:37
阅读次数:
253
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 ...
分类:
数据库 时间:
2018-02-24 23:02:29
阅读次数:
281
由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过文件上传漏洞上传木马等操作,危害服务器的安全。对于这种漏洞,一是阻止非法文件上传,一是禁止其运行,例如通过文件重命名,压缩重生成,对存储目录执行权限控制,或者存储目录不放在web中等措施。 ...
分类:
Web程序 时间:
2018-02-24 23:01:17
阅读次数:
241
命令注入是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的,遵守对一切输入不可信任的原则,对输入进行严格的校验。 ...
分类:
Web程序 时间:
2018-02-24 22:03:01
阅读次数:
288
CSRF本质是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 ...
分类:
Web程序 时间:
2018-02-24 22:00:05
阅读次数:
185
在Web安全测试中,借助合适的工具,能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。 ...
分类:
Web程序 时间:
2018-02-24 21:58:57
阅读次数:
349
