概述 反射型XSS(get) XSS案例:盗取Cookie 反射型XSS(post) 存储型XSS XSS案例:钓鱼攻击 XSS案例:键盘记录 DOM型XSS DOM型XSS-X XSS之盲打 XSS之过滤 XSS之htmlspecialchars XSS常见防范措施 XSS之href输出 XSS之 ...
分类:
其他好文 时间:
2019-09-21 12:19:48
阅读次数:
619
使用: document.createTextNode(); 注意: 1. 使用这个方法可以用来展示用户的输入, 避免XSS攻击; 2. 它不会对单双引号转义, 因此可能会被注入代码; ...
分类:
其他好文 时间:
2019-09-19 01:04:15
阅读次数:
102
原理python的SSTI不仅可以向网页插入一些XSS代码,而且还可以获取一些变量和函数信息,尤其是secret_key,如果获取到则可以对flask框架的session可以进行伪造。对于tornado框架,render(request, 'account/login.html', {'error' ...
分类:
编程语言 时间:
2019-09-18 19:35:49
阅读次数:
163
原理tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。简单的理解例子如下: import tornado.ioloopimpor ...
分类:
编程语言 时间:
2019-09-18 19:18:41
阅读次数:
294
XSS cross site script xss是一种发生在web前端的漏洞,一般是html代码拼接造成的。 分为: 1. 反射型 2. 存储型 3. DOM型 可以用来钓鱼、上传用户cookie,反正就是运行第三方的js代码。 原理 1. 反射型是攻击者准备url让用户浏览,用户执行攻击者的js ...
分类:
其他好文 时间:
2019-09-18 01:03:55
阅读次数:
108
XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第 ...
分类:
Web程序 时间:
2019-09-17 11:05:41
阅读次数:
115
sql注入 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 如何防止: 1,php.ini中,设置magic_quotes_gpc = on,这个默认是off,如果它打开后将自动把用户提交对sql的查询进行转换。如果magic_qu ...
分类:
数据库 时间:
2019-09-16 16:10:57
阅读次数:
106
Docker-compose是Docker容器工具,通过yml文件定义多docker容器应用,方便快速启动、停止N多容器。使用docker-compose命令根据yml文件的定义创建或管理多容器,但限于单台宿主机,如果跨主机管理容器,可用DockerSmarm或流行K8S。Dockercompose安装通过pip安装docker-compose。#pipinstalldocker-compose#
分类:
其他好文 时间:
2019-09-13 13:34:33
阅读次数:
101
-- phpMyAdmin SQL Dump-- version 4.9.0.1-- https://www.phpmyadmin.net/ 主机: localhost-- 生成日期: 2019-09-12 17:44:33-- 服务器版本: 5.6.38-- PHP 版本: 7.2.1 SET S ...
分类:
数据库 时间:
2019-09-12 18:30:15
阅读次数:
469
初面: SQL注入 (1)如何判断一个页面存在SQL注入,有哪些方法 (2)针对具体数据库如何进行注入,如access,sqlserver,mysql,oracle,mongodb,Nosql (3)碰到有Waf的情况如何绕过,有哪些绕过手段 XSS (1)XSS分类 (2)Dom型XSS应用场景 ...
分类:
其他好文 时间:
2019-09-10 19:38:26
阅读次数:
115
