csrf(Cross-site request forgery) 跨站请求伪造 是指利用受害者尚未失效的身份认证信息,诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作 但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通 ...
分类:
其他好文 时间:
2019-08-24 09:59:34
阅读次数:
95
存储型XSS (持久性XSS) 将恶意JavaScript代码存储在数据库,当下次用户浏览的时候执行 Low "\0" - NULL "\t" - 制表符 "\n" - 换行 "\x0B" - 垂直制表符 "\r" - 回车 " " - 空格 Medium strip_tags() 函数剥去字符串中 ...
分类:
其他好文 时间:
2019-08-22 11:29:30
阅读次数:
119
二、WXML和HTML的异同、WXSS和CSS的异同 (1)WXML和HTML 相同点:都是用来描述页面结构的,由标签、属性组成 不同点:标签名不一样,小程序标签名更少; 小程序多了 wx:if 这样的属性和 {{}} 的表达式; 小程序只能在微信开发者工具中预览,而HTML可以在浏览器中预览; 小 ...
分类:
微信 时间:
2019-08-21 21:33:36
阅读次数:
143
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创 ...
分类:
其他好文 时间:
2019-08-20 11:07:41
阅读次数:
178
各种类型的线程他们所需要的栈的大小其实是可以通过不同的参数来控制的: java_thread的stack_size,其实就是-Xss或者-XX:ThreadStackSize的值 compiler_thread的stack_size,是-XX:CompilerThreadStackSize指定的值 ...
分类:
其他好文 时间:
2019-08-19 11:15:49
阅读次数:
128
源代码: 可以看到是用htmlspecialchars 进行处理,但是他默认不对单引号进行处理的。 所有 输入: ' onclick='alert(111)' 点击触发xss 输入:' onmouseover='alert(1) 触发xss ...
分类:
Web程序 时间:
2019-08-18 19:37:14
阅读次数:
105
打开漏洞页面,随便输入点东西,发现没有啥东西。 但是我们发现我们输入的11,在面的herf 中 看到这儿就很简单了,我们只需要闭合一下,就可以构造出我们的payload了。 '><img src="#" onmouseover="alert('xss')"> ...
分类:
其他好文 时间:
2019-08-18 19:33:04
阅读次数:
85
首先打开漏洞网页,发现输入的长度好像被限制了, 我们便F12查看源代码,发现长度被限制成了20,而且还是前端验证的,我们可以直接修改为100 在我们的输入框中,输入 <script>alert(3)</script>, 便看到可以弹窗了 ...
分类:
其他好文 时间:
2019-08-18 17:25:49
阅读次数:
77
Django的安全攻击 一 、xss 二 、危害 三 、原理 四 、防护 五、在django中我们应该如何防护? ...
分类:
其他好文 时间:
2019-08-18 15:39:55
阅读次数:
73
由于执行的xss攻击请求他多了,初步估计要执行83次,而且还要执行3篇,如果手工一个一个去执行,说出去,我还配叫自动化大师吗; 有鉴于此,边打算自己编写一个脚本进行批量执行; 而短脚本的编写,非shell莫属,想到做到; 首先附上xss跨站攻击的请求报文: 看到没有如果一个一个执行,我的天,这要猴年 ...
分类:
系统相关 时间:
2019-08-17 22:15:11
阅读次数:
156
