web应用安全性问题 认证与授权测试要点 认证与授权测试要点之授权 session与cookie之cookie测试点: session测试点: 上传文件漏洞 SQL注入 SQL注入原理 SQL注入检查工具-scrawlr 1500ge url ddos拒绝服务攻击-(肉鸡) xss跨站脚本攻击 ap ...
分类:
Web程序 时间:
2019-06-28 22:58:15
阅读次数:
157
参考地址:https://www.cnblogs.com/sagecheng/p/9462239.html 测试项目:MVCDemo 一、XSS漏洞定义 XSS攻击全称跨站脚本攻击,它允许恶意web用户将代码(如:html代码)植入到页面上,当访问到该页面时,嵌入到页面的html代码会自动执行,从而 ...
0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分,前面有根据WAF特征确定是哪个WAF的测试方法给略过了,重点来看一下后面绕xss的一些 ...
分类:
其他好文 时间:
2019-06-26 00:39:31
阅读次数:
139
摘要 布局框架搭建 随笔添加 后台管理富文本编辑器KindEditor xss攻击 文章简介的截取,BeautifulSoup4模块 富文本编辑器上传图片 头像修改 一、后台管理框架布局搭建 后台管理布局框架分析:导航条、左侧功能区、右侧主要功能显示和实现区 实现: 导航条:使用bootstrap模 ...
分类:
Web程序 时间:
2019-06-25 23:25:12
阅读次数:
376
XSS存储型跨站攻击(Stored Cross Site Scripting) 前言: 相较于XSS反射型跨站攻击,存储型具有更严重的危害,如果在窃取信息的同时对网页没有任何变化,那受害者将很难发现。 如果我有写的不太明白的地方,可以先看看之前XSS反射型跨站攻击的随笔 low: 1.观察: 测试输 ...
分类:
其他好文 时间:
2019-06-24 22:43:13
阅读次数:
289
前言 无意间发现博客园标题的存储型XSS。 不过仔细想想,既然都申请了JS权限,想做啥其实都可以。 Payload 效果 ...
分类:
其他好文 时间:
2019-06-24 22:31:06
阅读次数:
112
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CS ...
分类:
其他好文 时间:
2019-06-19 20:03:22
阅读次数:
108
art-template简介 artTemplate(后文简称aT)才是模板引擎,而TmodJS(后文简称TJ,曾用名atc)则是依赖于前者的一款模板预编译器。两者都是由腾讯开发。其实aT完全可以独立使用,而TJ存在的意义是提供了一个对模板进行预编译的环境(基于NodeJS和模块化)。有了TJ,aT ...
分类:
其他好文 时间:
2019-06-19 17:15:35
阅读次数:
106
web安全常见攻击解读--DDos、cc、sql注入、xss、CSRF 一,DDos https://www.cnblogs.com/sochishun/p/7081739.html#4111858 http://nic.swu.edu.cn/s/nic/thyt/20180604/2555404. ...
分类:
数据库 时间:
2019-06-18 10:43:16
阅读次数:
158
jvm主要由三个子系统构成:类加载子系统,运行时数据区(内存模型),执行引擎 运行时数据区主要包括: 1.本地方法栈:登记native方法,执行时加载本地方法库 2.程序计数器:就是一个指针,用来存储指向下一条执行指令的地址,也就是即将要执行的指令代码,是一个非常小得空间,可以忽略不计。 3.jav ...
分类:
编程语言 时间:
2019-06-17 01:13:43
阅读次数:
126
