就之前本人主持开发的金融产品所遇到的安全问题,设计部分请参见:http://www.cnblogs.com/shenliang123/p/3835072.html 这里就部分web安全防护就简单的交流: (1)跨站脚本攻击(XSS): XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶 ...
分类:
Web程序 时间:
2016-03-24 14:45:15
阅读次数:
225
<?php function _removeXSS($val) { $search = 'abcdefghijklmnopqrstuvwxyz'; $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'; $search .= '1234567890!@#$%^&*()';
分类:
其他好文 时间:
2016-03-08 13:22:07
阅读次数:
124
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过
分类:
其他好文 时间:
2016-03-03 09:05:44
阅读次数:
169
XSS攻击很多发生在用户在可以输入的地方输入了不友好的内容,根本处理方法是在输入内容中进行过滤 PHP或者java,基本都有现成的jar包或者php框架,调用自动过滤用户的输入内容,避免了XSS 防御的方式有以下几种: 1、HttpOnly防止劫取Cookie HttpOnly最早由微软提出,至今已
分类:
其他好文 时间:
2016-03-02 22:04:59
阅读次数:
261
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以
分类:
其他好文 时间:
2016-02-28 20:01:05
阅读次数:
298
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以
分类:
其他好文 时间:
2016-02-28 06:31:05
阅读次数:
222
一、认识XSS先 二、XSS攻击 三、XSS防御(重点) 四、总结 Writer:BYSocket(泥沙砖瓦浆木匠) 微博:BYSocket 豆瓣:BYSocket Reprint it anywhere u want. 文章Points: 1. 认识XSS 2. XSS攻击 3. XSS防御(重点
分类:
其他好文 时间:
2016-02-24 14:00:20
阅读次数:
162
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过
分类:
其他好文 时间:
2016-02-23 18:57:34
阅读次数:
189
前言: 之前编写了一个网页闯关游戏(类似Riddle Game), 除了希望大家能够体验一下我的游戏外. 也愿意分享编写这个网页游戏过程中, 学到的一些知识. web开发初学者往往会忽视一些常见的漏洞, 比如SQL注入攻击, XSS攻击. 本文将简述SQL注入攻击的原理, 并分享下关卡设计, 其在打
分类:
数据库 时间:
2016-02-21 09:00:50
阅读次数:
305
《白帽子讲Web安全》笔记1-5章白帽子讲Web安全笔记1-5章
第1章 安全世界观
安全评估过程
资产等级划分
威胁分析
风险分析
确认解决方案
第2章 浏览器安全
第3章 XSS攻击
反射型XSS
存储型XSS
DOM Based XSS
XSS钓鱼
XSS攻击平台
Flash XSS
XSS防御
第4章 CSRF
CSRF本质
CSRF防御
第5章 点击劫持ClickJacking
Click...
分类:
Web程序 时间:
2016-01-24 18:26:29
阅读次数:
193
