原理tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。简单的理解例子如下: import tornado.ioloopimpor ...
分类:
编程语言 时间:
2019-09-18 19:18:41
阅读次数:
294
XSS cross site script xss是一种发生在web前端的漏洞,一般是html代码拼接造成的。 分为: 1. 反射型 2. 存储型 3. DOM型 可以用来钓鱼、上传用户cookie,反正就是运行第三方的js代码。 原理 1. 反射型是攻击者准备url让用户浏览,用户执行攻击者的js ...
分类:
其他好文 时间:
2019-09-18 01:03:55
阅读次数:
108
XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第 ...
分类:
Web程序 时间:
2019-09-17 11:05:41
阅读次数:
115
sql注入 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 如何防止: 1,php.ini中,设置magic_quotes_gpc = on,这个默认是off,如果它打开后将自动把用户提交对sql的查询进行转换。如果magic_qu ...
分类:
数据库 时间:
2019-09-16 16:10:57
阅读次数:
106
Docker-compose是Docker容器工具,通过yml文件定义多docker容器应用,方便快速启动、停止N多容器。使用docker-compose命令根据yml文件的定义创建或管理多容器,但限于单台宿主机,如果跨主机管理容器,可用DockerSmarm或流行K8S。Dockercompose安装通过pip安装docker-compose。#pipinstalldocker-compose#
分类:
其他好文 时间:
2019-09-13 13:34:33
阅读次数:
101
-- phpMyAdmin SQL Dump-- version 4.9.0.1-- https://www.phpmyadmin.net/ 主机: localhost-- 生成日期: 2019-09-12 17:44:33-- 服务器版本: 5.6.38-- PHP 版本: 7.2.1 SET S ...
分类:
数据库 时间:
2019-09-12 18:30:15
阅读次数:
469
由于工作等种种原因未能连续进行学习,现在继续学习微服务,不过是新建的demo,springcloud版本用的是Finchley.SR2。 之前用简单demo实现了注册中心,现在来对注册中心加安全验证: 一、添加依赖 二、修改配置文件 设置安全认证的用户名跟密码: 修改eureka访问url 三、重启 ...
分类:
编程语言 时间:
2019-09-12 13:34:23
阅读次数:
109
初面: SQL注入 (1)如何判断一个页面存在SQL注入,有哪些方法 (2)针对具体数据库如何进行注入,如access,sqlserver,mysql,oracle,mongodb,Nosql (3)碰到有Waf的情况如何绕过,有哪些绕过手段 XSS (1)XSS分类 (2)Dom型XSS应用场景 ...
分类:
其他好文 时间:
2019-09-10 19:38:26
阅读次数:
115
参考链接:https://www.cnblogs.com/chunxiong/p/9406178.html 稍微修改了一下。。。学习学习!! ...
一、信息安全 1、信息源认证 https 访问控制 ACL ;不能有非法软件驻留 ;不能含有未授权的操作等 2、2017-OWASP-TOP5 注入 ;失效的身份认证和回话配置 ;跨站脚本 ;失效的访问控制 ;安全配置错误 二、术语 1、肉鸡 :是指可以被黑客远程控制的机器。黑客可以随意操纵它并利用 ...
分类:
其他好文 时间:
2019-09-10 00:46:43
阅读次数:
94
