Session是存储在服务器端的用户凭证,安全性比Cookie要高,Django是将Session信息存放在Cookie里面。用户一旦禁用Cookie,就不能用了。 Session不光可以存储在Cookie里面,如果前端将其存储在页面中,作为全局变量,每次发送,都携带上,和放在Cookie里面的效果 ...
分类:
其他好文 时间:
2020-06-03 20:09:56
阅读次数:
62
GET /down.php/1' UNION select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 -- --/bb HTTP/1.1Host: yyy.xxx.cnConnection: keep-aliveCache-Co ...
分类:
Web程序 时间:
2020-06-03 17:37:32
阅读次数:
72
LOW 打开,是个查询ID 利用$_REQUEST获取id参数,$_REQUEST 包含了 $_GET,$_POST 和 $_COOKIE 的数组,可以被远程用户篡改而并不可信。 直接将$_REQUEST的数据插入sql查询语句未做任何过滤,造成了SQL注入漏洞 -1'union select us ...
分类:
数据库 时间:
2020-06-03 17:13:46
阅读次数:
117
上篇文章提及到了JWT,以及为什么使用Token,这篇文章就围绕JWT展开论述吧. JWT 官方文档:https://jwt.io/introduction/ 大致就是介绍了JWT是啥东西、运用场景 、怎么用.. 基于cookie-session的认证 说到JWT,我觉得有必要来谈谈基于cookie ...
分类:
其他好文 时间:
2020-06-03 15:15:58
阅读次数:
83
####基本概念 CSRF(Cross-Site Request Forgery),跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向相关对应服务器发送请求,从而完成非法操作。 ####攻击 ...
分类:
其他好文 时间:
2020-06-03 00:51:54
阅读次数:
81
####定义 XSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和JS脚本)注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击 ...
分类:
其他好文 时间:
2020-06-03 00:24:06
阅读次数:
237
你们公司的会话保持(session共享)怎么做的? # 开发做会话保持,将用户登录信息存储在redis,MySQL,文件共享存储...中 1.记录用户的登录状态(logined=1) 2.通过用户对应的user_id跟cookie结合,记录用户的登录状态(明确知道是哪个用户登录的) 3.不安全,如果 ...
分类:
Web程序 时间:
2020-06-01 23:53:15
阅读次数:
98
什么是cookie?
cookie是后端服务器,传给浏览器的一段字符串,作用是用来记录用户登录的状态,和数据库中的user id结合,可
以保证知道是哪一个用户登录的。仅存储在浏览器。
# 什么是session?
session是后端服务器,传给浏览器的一段字符串,作用也是用来记录用户的登录状态(... ...
分类:
其他好文 时间:
2020-06-01 23:37:12
阅读次数:
72
##什么是 XSS 攻击,如何避免? 答: 概念:XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种,它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 目的:想办法获取目标攻击网站的cookie,因为有了cookie相当于有了s ...
分类:
其他好文 时间:
2020-06-01 16:53:35
阅读次数:
73
这里就总结一下,自己没有做出来的原因:没队友交流、时间紧 Web2 比赛时抓包看cookie里面有jwt,就去google发现是jwt伪造,原题也看到了,只要能伪造好jwt,就能直接登录无需密码 卡题原因:不知道jwt的密钥,现学现卖不是强项 说实话,也没有想到要用到解密工具,因为既然不知道admi ...
分类:
Web程序 时间:
2020-06-01 13:31:27
阅读次数:
121
