CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请 求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用 ...
分类:
Web程序 时间:
2016-10-12 19:49:07
阅读次数:
531
第3章跨站脚本攻击(xss)3.1xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将..
分类:
Web程序 时间:
2016-10-09 00:50:43
阅读次数:
259
第4章跨站点请求伪造(CSRF)4.1CSRF简介CSRF(Cross-siterequestforgery跨站请求伪造,也被称为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputyattack)。4.2CSRF进阶浏览器..
分类:
Web程序 时间:
2016-10-09 00:48:02
阅读次数:
182
1. 基础准备知识 (1) php: 部分由服务器解析后并连带html代码一并返回给浏览器,类似jsp的操作,一般开发中都使用smarty模板将前端后端分开。所以在XSS跨站中,可以使用get参数传值的方式进行XSS攻击 (2) EL表达式:对于EL表达式${name},EL表达式首先从page,s... ...
分类:
其他好文 时间:
2016-10-04 16:29:04
阅读次数:
212
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你 ...
分类:
其他好文 时间:
2016-10-02 22:02:51
阅读次数:
193
×01 BruteXSS BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报 ...
分类:
其他好文 时间:
2016-10-01 12:22:59
阅读次数:
149
1、什么是XSS攻击 XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。 理论上,所有可以输入的地 ...
分类:
其他好文 时间:
2016-09-30 14:43:12
阅读次数:
120
CSRF,Cross Site Request Forgery,即跨站点请求伪造。 这种攻击是指,在用户正常登录系统以后,攻击者诱使用户访问一些非法链接,以执行一些非法操作。 比如:如果删除用户操作(如,yourdomain.com/deluser?id=123)没有经过防范CSRF的处理,那么,假... ...
分类:
其他好文 时间:
2016-09-30 00:37:27
阅读次数:
174
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 下面我们通过具体例子,了解两种类型xs ...
分类:
其他好文 时间:
2016-09-26 21:31:06
阅读次数:
186
Form验证 django中的Form一般有两种功能: 输入html 验证用户输入 django使用内置form方法验证表单提交的数据 html页面 views函数 url 配置略 效果: 涉及的知识点: 1.html中form表单name的值需要和自己定义的类中的值必须一样,如input中name ...
分类:
其他好文 时间:
2016-09-23 20:04:40
阅读次数:
196
