CSRF: 跨站请求伪造 与XSS区别: XSS:利用用户对站点的信任 CSRF:利用站点对已经经过身份认证客户端的信任 CSRF原理(在用户非自愿、不知情的情况下提交请求): 当client已经与server建立一个正常session,黑客发来一个针对该server修改密码的链接诱使client点 ...
分类:
其他好文 时间:
2019-05-31 13:29:10
阅读次数:
116
XSS 分为三种:反射型,存储型和 DOM-based 如何攻击 XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网站。 例如通过 URL 获取某些参数 <!-- http://www.domain.com?name=<script>alert(1)</script> --> <div>{ ...
分类:
其他好文 时间:
2019-05-29 16:26:41
阅读次数:
265
JAVA_OPTS ,顾名思义,是用来设置JVM相关运行参数的变量。 JVM:JAVA_OPTS="-server -Xms2048m -Xmx2048m -Xss512k" -server:一定要作为第一个参数,在多个CPU时性能佳 -Xms:初始Heap大小,使用的最小内存,cpu性能高时此值应 ...
分类:
编程语言 时间:
2019-05-28 09:16:20
阅读次数:
174
<script\x20type="text/javascript">javascript:alert(1);</script><script\x3Etype="text/javascript">javascript:alert(2);</script><script\x0Dtype="text/ja ...
分类:
其他好文 时间:
2019-05-28 00:48:16
阅读次数:
167
整理于《XSS跨站脚本攻击剖析与防御》—第6章 Flash在客户端提供了两个控制属性: allowScriptAccess属性和allowNetworking属性,其中AllowScriptAccess控制Flash与HTML页面的通信,如果设置不恰当会导致XSS;而AllowNetworking控 ...
分类:
Web程序 时间:
2019-05-27 16:29:20
阅读次数:
171
指令:增强元素标签的功能 1. v-text & v-html 相同点: 作用:都是替换使用该指令的元素的内容 区别: v-text 是文本输出,显示的格式字符串形式 v-html 是 html 格式输出 注意:尽量避免使用,容易造成危险 (XSS跨站脚本攻击) <div id="app"> <!- ...
分类:
其他好文 时间:
2019-05-27 09:17:51
阅读次数:
110
20165107 网络对抗技术 Exp9 Web安全基础 实验要求 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,包括(SQL,XSS,CSRF) Webgoat实践下相关实验。 基础问题问答 1、SQL注入攻击原理,如何防御 SQL注入攻击原理:是指通过构建特殊的输入作为参数传入W ...
分类:
Web程序 时间:
2019-05-26 20:03:24
阅读次数:
243
2018 2019 2 网络对抗技术 20165216 Exp9 Web安全基础 1.1.实验内容概述 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。 1.2.实验环境 Kali Linux 64bit(IP ...
分类:
Web程序 时间:
2019-05-26 18:28:08
阅读次数:
219
一、实验内容 本实践的目标理解常用网络攻击技术的基本原理。 做不少于7个题目,包括SQL,XSS,CSRF。 Webgoat实践下相关实验。 二、实验具体步骤 (一)环境配置 1.安装WebGoat 从学长博客的云盘里下载了WebGoat,输入命令java -jar webgoat-containe ...
分类:
Web程序 时间:
2019-05-26 18:02:18
阅读次数:
179
什么是CRSF 构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF 跨站点请求伪造。 浏览器Cookie策略 cooki ...
分类:
其他好文 时间:
2019-05-26 17:44:50
阅读次数:
121
