跨站点脚本是开发过程中经常需要考虑的安全问题。此种情形发生在允许用户直接输入html、javascript脚本时。在下述的website中,我们并没有过滤输入的内容,导致一些安全漏洞。
如果在输入框中输入由包围的内容,当页面被加载的时候,脚本将被执行,每次均将在前端展示。例如,如果输入alert(’hello’)并保存,每次浏览此页面时,都将看到alert的窗口。
嵌入页面的javas...
分类:
其他好文 时间:
2014-09-03 11:22:56
阅读次数:
307
目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。主要问题有:1.自签证书最容易被假冒和伪造,而被欺诈网站所利用。所谓自签证书...
分类:
其他好文 时间:
2014-09-03 11:02:26
阅读次数:
520
无论你用什么方法使用文件,你都要在某个地方指定文件名。在很多情况下,文件名会作为fopen()函数的一个参数,同时其它函数会调用它返回的句柄:香格里拉娱乐城当你把被污染数据作为文件名的一部分时,漏洞就产生了:由于在本例中路径和文件名的前后两部分无法由攻击者所操纵,攻击的可能性受到了限制。可是,需要紧...
分类:
Web程序 时间:
2014-09-03 09:28:26
阅读次数:
195
Mass assignment是rails中常用的将表单数据存储起来的一种方式。不幸的是,它的简洁性成了黑客攻击的目标。下面将解释为什么及如何解决。
上述表单为一个简单的注册表单。当用户填入name,点击提交时,一个新用户被创建。用户模型被如下定义:
ruby
create_table :users do |t|
t.string :name
t.boolean ...
分类:
其他好文 时间:
2014-09-02 22:59:15
阅读次数:
539
前台页面使用@Html.AntiForgeryToken()和Controller中的[ValidateAntiForgeryToken]配合使用可以防止CSRF攻击,详细介绍可查看一下链接:http://www.cnblogs.com/hyddd/archive/2009/04/09/143274...
分类:
数据库 时间:
2014-09-02 19:45:15
阅读次数:
273
1、概述NTP(Network Time Protocol)是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。(来自 百度百...
分类:
其他好文 时间:
2014-09-02 17:20:54
阅读次数:
232
一:实践环境介绍二:配置Apache,实现访问http页面自动转成https页面需求1:整个站点都实现http自动转https需求2:整个站点使用http协议,只有某个单独页面从http自动转到https实验环境介绍使用yum安装apacheApache版本#httpd-vServerversion:Apache/2.2.15(Unix)Serverbuilt:..
分类:
其他好文 时间:
2014-09-02 12:40:05
阅读次数:
360
问题描述一直采用HypericHQCRP监控两个网站:www.GoodU.info:“如是我闻”,记录每天不经意间看到的一些好文章,排版简洁,易于阅读,“你永远不知道下一篇是什么类型的文章。”www.wongjingwingchun.com:“黄祯咏春会”,一个以咏春拳会友的的网站,由黄祯咏春传人免费教习,..
分类:
Web程序 时间:
2014-09-02 12:36:45
阅读次数:
334
TCP连接的状态图
TCP建立连接的三次握手过程,以及关闭连接的四次握手过程
贴一个telnet建立连接,断开连接的使用wireshark捕获的packet截图。
1、建立连接协议(三次握手)
(1)客户 端发送一个带SYN标志的TCP报文到服务器。这是三次握手过程中的报文1。
(2) 服务器端回应客户端的,这是三次握手中的第2个报文,这个报文同时带ACK标志和S...
分类:
其他好文 时间:
2014-09-01 22:45:43
阅读次数:
303
