1、CSRF : Cross Site Request Forgery. 该攻击通过在授权用户访问的页面中包含链接或脚本的方式工作。是一种依赖Web浏览器的、被混淆过的代理人攻击。 2、常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 另外可以通 ...
分类:
Web程序 时间:
2017-01-19 02:04:21
阅读次数:
234
1、新标签的XSS H5中定义类很多新标签、新事件可能带来XSS(为研究XSS攻击H5的变化成立项目 HTML 5 Security Cheatsheet) eg: 1) <video src=" " onloadedmetadate="alter(XSS)"> 远程加载视频 2) <audio> ...
分类:
Web程序 时间:
2017-01-19 01:30:46
阅读次数:
186
一、SQL注入: 1、注入攻击的本质:把用户输入的数据当代码执行。 攻击的关键点:1、用户能够控制输入; 2、原本程序要执行的代码, 2、盲注(Blind Injection):在服务器没有错误回显时完成的注入攻击。 3、时序攻击(Timing Attack):利用BENCHMARK()函数(mys ...
分类:
Web程序 时间:
2017-01-19 00:43:28
阅读次数:
246
原文地址:http://huoding.com/2011/11/08/126 去年我写过一篇《OAuth那些事儿》,对OAuth做了一些简单扼要的介绍,今天我打算写一些细节,以阐明OAuth如何从1.0改变成1.0a,继而改变成2.0的。 OAuth1.0 在OAuth诞生前,Web安全方面的标准协 ...
分类:
其他好文 时间:
2017-01-18 15:11:14
阅读次数:
274
工具下载: 1、安装java环境:http://www.cnblogs.com/CyLee/p/6264361.html 1.下载webscarab 下载地址:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/ 2 ...
分类:
Web程序 时间:
2017-01-13 07:44:06
阅读次数:
176
@font-face是CSS3中的一个模块,他主要是把自己定义的Web字体嵌入到你的网页中,随着@font-face模块的出现,我们在Web的开发中使用字体不怕只能使用Web安全字体,你们当中或许有许多人会不自然的问,这样的东西IE能支持吗?当我告诉大家@font-face这个功能早在IE4就支持了 ...
分类:
Web程序 时间:
2017-01-05 20:26:47
阅读次数:
225
整理下前面写过的75篇关于Tomcat源码和机制的文章
文章列表 如何设计一个Web容器
Web安全认证机制知多少
Tomcat集群实现源码级别剖析
Tomcat集群如何同步会话
...
分类:
其他好文 时间:
2016-12-30 19:40:12
阅读次数:
264
SQL注入是一个比较“古老”的话题,虽然现在存在这种漏洞的站点比较少了,我们还是有必要了解一下它的危害,及其常用的手段,知己知彼方能百战不殆。进攻与防守相当于矛和盾的关系,我们如果能清楚了解 攻击的全过程,就可以更好的预防类似情况的出现。 SQL注入原理 主要是攻击者,利益被攻击页面的一些漏洞(通常 ...
分类:
数据库 时间:
2016-12-19 11:10:40
阅读次数:
196
在 HTML 语言中,以下哪个属性不是通用属性?A]<class>B]<title>C]<href>D]<style> 在线练习:http://hovertree.com/tiku/bjaf/qi1g37nf.htm 在 CSS 样式定义中,以下哪种 RGB 颜色值是 Web 安全色?A]#1111 ...
分类:
Web程序 时间:
2016-12-18 12:45:54
阅读次数:
270
逆向分析是一门技术,也是一门艺术。 由于Web安全相对于二进制安全,更容易入门,所以在最早的时候选择了相对简单的路。但随着接触这一行的时间变长,感觉局限于 Web 而抵触二进制实在太狭隘,所以我决定投入到Android安全的学习研究中。 0x1 安卓安全的大致细分 应用层Apk逆向、安卓设备框架、内 ...
分类:
移动开发 时间:
2016-12-16 22:20:20
阅读次数:
313
