XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 ...
分类:
其他好文 时间:
2016-05-11 15:04:49
阅读次数:
155
注意:以下所有操作須结合实际情况,确认后再实施。1. OpenSSH 相关漏洞 解决方案 升级OpenSSH为最新版本,目前为5.9,首先到官网(http://www.openssh.com/portable.html#http)下载:openssh-5.9p1.tar.gz 把OpenSSH 上传 ...
分类:
其他好文 时间:
2016-05-09 20:32:02
阅读次数:
690
按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Policy" header 9 Missing "X-Content-Type-Options" header ...
分类:
移动开发 时间:
2016-05-08 10:27:54
阅读次数:
1606
1. XSS攻击基本概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来 ...
分类:
其他好文 时间:
2016-05-08 10:25:08
阅读次数:
273
IDC评述网(idcps.com)05月06日报道:根据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据得悉,在4月第4周(2016-04-18至2016-04-24)期间,我国互联网网络安全指数整体评价为中。下面,请与IDC评述网一同关注在2016年4月18日至2016年4月24日期间,我国互联..
分类:
其他好文 时间:
2016-05-06 16:32:47
阅读次数:
196
ImageMagick是一款广泛流行的图像处理软件,有无数的网站使用它来进行图像处理,但在本周二,ImageMagick披露出了一个严重的0day漏洞,此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。Slack安全工程师Ryan Hube发现了这一0day漏洞。 在这个安全漏洞 ...
分类:
其他好文 时间:
2016-05-06 09:22:08
阅读次数:
291
nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: 包装器: ...
分类:
数据库 时间:
2016-05-04 19:04:04
阅读次数:
277
据US-CERT披露,最近在ntpd服务中发现了大量安全缺陷,ntpd是网络时间协议NTP的服务进程,绝大多数的服务器和各种设备都采用它来处理时间相关的任务。 虽然有多种NTP的服务进程,但是我们一般说的都是指NTP.org的ntpd服务进程,它也是大部分服务器和设备所用的版本。在今年的一月和四月它 ...
分类:
其他好文 时间:
2016-05-03 23:33:50
阅读次数:
232
在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞[1] ,主要问题如下: 可远程执行服务器脚本代码[2] 用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.Process ...
分类:
其他好文 时间:
2016-04-27 22:31:18
阅读次数:
275
IDC评述网(idcps.com)04月27日报道:根据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据得悉,在4月第2周(2016-04-11至2016-04-17)期间,我国互联网网络安全指数整体评价为中。下面,请与IDC评述网一同关注在2016年4月11日至2016年4月17日期间,我国互联..
分类:
其他好文 时间:
2016-04-27 11:02:06
阅读次数:
250
