进入正题之前,先扯一番:黑客本义并非某些人以为的利用网络干坏事的人,刚开始或者说现在的很多,黑客是以技术大牛的形式存在的,也就是在网络领域有一门专场的牛人。有些黑客不干坏事而是干好事,比如利用网站的漏洞,去告诉网站开发运营者你的网站有漏洞,要修补啦,他们却并不会利用这漏洞干坏事,而是以发现漏洞追求技术快感为享受。
说是网站攻防演练,但估计这套东西已经很老很少用了,毕竟作为课程实验的实例都是“经典...
分类:
Web程序 时间:
2016-06-04 01:53:12
阅读次数:
319
第四章 Web 表单request.from 能获取 POST 请求中提交的表单数据
Flask-WTF 扩展可以把处理 Web 表单的过程变成一种愉悦的体验4.1 跨站请求伪造保护默认情况下,Flask-WTF 能保护所有表单免受跨站请求伪造的攻击,为了实现 CSRF 保护,Flask-WTF 需要程序设置一个密钥,会使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪
设置密钥的方法如...
分类:
Web程序 时间:
2016-06-02 14:25:12
阅读次数:
244
一.CSRF是什么?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取...
分类:
其他好文 时间:
2016-06-02 11:38:51
阅读次数:
210
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。 关键字:SQL注 ...
分类:
数据库 时间:
2016-06-02 09:37:46
阅读次数:
235
BackTrack 5 R1 XSS研究之XSSer(超强XSS攻击利器)使用说明中文版 XSSer使用说明 简介: 跨站脚本者是一个自动框架,检测,利用和报告基于Web应用XSS漏洞。它包含几个选项,试图绕过某些过滤器,以及各种特殊的代码注入技术。 XSSer由一个遵循GPL V3的团队完成,版权 ...
分类:
其他好文 时间:
2016-05-31 00:38:49
阅读次数:
211
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
XSS攻击
...
分类:
其他好文 时间:
2016-05-27 12:22:24
阅读次数:
1354
在比较特殊的情况下YII的防止跨站攻击也会失效 YII针对XSS输入 ...
分类:
其他好文 时间:
2016-05-27 10:59:17
阅读次数:
179
http://www.cnblogs.com/xinhaijulan/archive/2010/08/21/1805116.html Session共享的解决方案 1、客户端SessionID值唯一; 对于不同的域名:主域名、子域名、跨站点域名或跨服务器域名,用户在打开页面时会产生不同的Sessio ...
分类:
其他好文 时间:
2016-05-25 01:56:32
阅读次数:
178
说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。 异常详细信息 ...
分类:
其他好文 时间:
2016-05-17 19:42:55
阅读次数:
112
跨站请求伪造(CSRF/XSRF) 简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常 ...
分类:
其他好文 时间:
2016-05-17 07:28:54
阅读次数:
201
