在网页制作中,美观的字体能很大程度上提升一个网页的整体外观浏览效果(说白了就是提升逼格),但受各种因素的影响(例如中文字体应用Webfont的麻 烦),使开发者在制作过程中不得不使用“Web安全字体”,这使网页的外观效果大幅下降。今天在改模板的过程中偶然发现一个很笨的方法,实现近似微软雅黑 Ligh
分类:
Web程序 时间:
2016-02-06 22:23:49
阅读次数:
1637
1.sql注入:这个很常规了,不要拼字符串以及过滤关键字都可以防住,需要注意的是,Cookie提交的参数也是可以导致注入漏洞的。2.旁注:就是说在保证自己的程序没问题的同时,也要保证同台服务器的其他站点没问题。至少要设置好系统权限,即使别人的站点出问题也不能影响自己的站点。3.上传:尽量不要有上传功
分类:
Web程序 时间:
2016-01-29 11:32:07
阅读次数:
194
《白帽子讲Web安全》笔记1-5章白帽子讲Web安全笔记1-5章
第1章 安全世界观
安全评估过程
资产等级划分
威胁分析
风险分析
确认解决方案
第2章 浏览器安全
第3章 XSS攻击
反射型XSS
存储型XSS
DOM Based XSS
XSS钓鱼
XSS攻击平台
Flash XSS
XSS防御
第4章 CSRF
CSRF本质
CSRF防御
第5章 点击劫持ClickJacking
Click...
分类:
Web程序 时间:
2016-01-24 18:26:29
阅读次数:
193
运维安全概述iv4n·2015/09/02 19:310x00 前言运维安全是企业安全保障的基石,不同于Web安全、移动安全或者业务安全,运维安全环节出现问题往往会比较严重。一方面,运维出现的安全漏洞自身危害比较严重。运维服务位于底层,涉及到服务器,网络设备,基础应用等,一旦出现安全问题,直接影响到...
分类:
其他好文 时间:
2016-01-23 18:01:46
阅读次数:
134
前言:我们在进行网站渗透的时候,通常第一步都是获取目标网站的一些配置信息,比如:所用的服务器类型,用了哪种CMS,网站又用了哪些插件等等。当然,我们要是在这一步获取到了比较充分的信息,毫无疑问接下来我们就可以有针对性地进行漏洞搜索和挖掘,对最后的渗透测试是非常..
分类:
编程语言 时间:
2016-01-09 06:26:11
阅读次数:
238
利用SQL注入漏洞登录后台的实现方法作者: 字体:[增加减小] 类型:转载 时间:2012-01-12我要评论工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句早在02年,国外关于SQL注入漏洞的技术...
分类:
数据库 时间:
2016-01-04 14:29:32
阅读次数:
315
一,Web安全的关键点1.同源策略是众多安全策略的一个,是Web层面上的策略。很重要。2.同源策略规定:不同域的client脚本在没明白授权的情况下。不能读写对方的资源。3.同域要求两个网站同协议,同域名,同port。4.当然,在同一个域内。client脚本能够随意读写同源内的资源,前提是这个资源本...
分类:
Web程序 时间:
2016-01-03 22:32:51
阅读次数:
886
WEB的安全性测试主要从以下方面考虑 1.SQL Injection(SQL注入) (1)如何进行SQL注入测试?首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等.注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传...
分类:
Web程序 时间:
2016-01-02 22:36:12
阅读次数:
245
本章主要讲解的是一些属性声明用的值: CSS中的值主要有数字,百分数,颜色, 1.颜色: rgb(100%,100%,100%) OR rgb(255,255,255) OR #FF0000 WEB安全颜色:指的是值是20%,51,0x33的倍数。 2.长度单位:单位有in cm...
分类:
Web程序 时间:
2015-12-14 18:25:54
阅读次数:
147
笔记一:ettercap是什么?我们在对WEB安全检测的时候都会用到Cain和netfuke这两款工具,功能相信用过的朋友多多少少都知道,但这两款工具是在windows下运行的。而ettercap是在linux下运行的 。其实功能都是差不多的,我称呼它为嗅探工具,ARP欺骗,DNS,劫持,中间人攻击...
分类:
其他好文 时间:
2015-12-13 18:34:46
阅读次数:
208
