先囤几篇文章: 1、https://www.cdxy.me/?p=773 2、https://segmentfault.com/a/1190000009052376 3、https://segmentfault.com/a/1190000008288950 4、http://www.freebuf. ...
分类:
Web程序 时间:
2017-08-21 20:38:53
阅读次数:
177
一.跨站脚本攻击(XSS):通过HTML注入,插入恶意的脚本 类型1:反射型XSS:将用户的输入反射给浏览器,比如alert() 类型2:存储型XSS:将包含JS的博客文章存入数据库,所有访问该博客的人都会执行JS脚本 二.XSS进阶 1.XSS Payload:通过XS攻击控制用户的浏览器,最常见 ...
分类:
Web程序 时间:
2017-08-17 00:52:35
阅读次数:
200
日常生活中,我们接触最多的Http组件就是浏览器了!但是,还有其他也很重要的组件,下面容我慢慢盘点: 1.代理服务器 代理服务器就是帮助我们发送请求报文,接受响应报文的服务器。对web服务器而言,代理服务器就是客户端,其实真正的客户端在代理的背后。 代理在web安全,性能优化以及应用集成三个方面都很 ...
分类:
Web程序 时间:
2017-08-12 18:13:00
阅读次数:
149
这是我上午扫描的一个网站很多地方地方不懂在网上查了严重问题有Sessionfixtion,vulnerablejavascriptlibrary..1.什么是sessionfixation攻击Sessionfixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为..
分类:
Web程序 时间:
2017-08-10 15:07:12
阅读次数:
639
点击劫持 frame buseting html5的sandbox属性 和iframe 的security属性 可以使frame busting失效 X-Frame-Options http头 DENY 拒绝当前页面加载任何frame SAMEORIGIN frame只能加载同源域名页面 ALLOW ...
分类:
Web程序 时间:
2017-08-06 12:52:26
阅读次数:
170
这题进入以后用时间注入测试一下,成功:之后就是自己写了个代码:(写的比较破,将就看看)#!/usr/bin/python
#coding=utf-8
importrequests
importsys
#计算长度
deflength(strs):
foriinrange(1,100):
url="http://ctf5.shiyanbar.com/basic/inject/index.php?admin=1‘ori..
分类:
其他好文 时间:
2017-08-04 22:56:36
阅读次数:
177
这题就是个sqi注入的:手工注入:我先是简单尝试,就发现了,可以执行sql语句http://ctf5.shiyanbar.com/8/index.php?id=2groupby2没报错http://ctf5.shiyanbar.com/8/index.php?id=2gourpby3报错说明我们有两个字段可以提供给我们使用,比如说如下语句http://ctf5.shiyanbar.c..
分类:
其他好文 时间:
2017-08-04 11:04:02
阅读次数:
126