CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园
分类:
Web程序 时间:
2016-03-02 00:11:01
阅读次数:
187
最近学习web安全问题总结如下: 一、跨站脚本攻击(xss) 向web页面插入恶意代码,主要为涉及到用户输入的地方。 永远不要相信用户的输入。需要做检测(比如特殊字符显示时进行转义)。 二、跨站点请求伪造(CSRF) 伪造连接请求,在用户不知道的情况下一用户的身份发送请求。 注意点:用token或者
分类:
Web程序 时间:
2016-02-28 22:43:09
阅读次数:
163
. 什么是跨站请求伪造(CSRF) CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
分类:
其他好文 时间:
2016-02-26 16:44:09
阅读次数:
165
一时兴起,看了多篇关于黑黑的技术博文,感觉受益匪浅 1、getshell 提权 2、xss 跨站脚本攻击 3、csrf 跨站请求伪造 4、脱裤 入侵网站,然后下载数据库 具体是什么请自行脑补或着问度娘。。。
分类:
其他好文 时间:
2016-02-26 11:48:25
阅读次数:
167
一、认识XSS先 二、XSS攻击 三、XSS防御(重点) 四、总结 Writer:BYSocket(泥沙砖瓦浆木匠) 微博:BYSocket 豆瓣:BYSocket Reprint it anywhere u want. 文章Points: 1. 认识XSS 2. XSS攻击 3. XSS防御(重点
分类:
其他好文 时间:
2016-02-24 14:00:20
阅读次数:
162
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过
分类:
其他好文 时间:
2016-02-23 18:57:34
阅读次数:
189
转http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户
分类:
Web程序 时间:
2016-02-18 19:43:27
阅读次数:
251
HTTP访问控制(CORS) 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了域名B(http
分类:
Web程序 时间:
2016-02-02 17:51:19
阅读次数:
234
主要表现为 include('../config/config.php'); 不能获取到config.php里的内容 全是open_basedir引起,排查步骤 1、php.ini是否开启open_basedir, 有的话;注释掉 2、php-fpm.conf 是否有 <value name="op
分类:
其他好文 时间:
2016-01-27 23:03:10
阅读次数:
275
一、XSS攻击简介作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,而XSS采用的注入方式是非常巧妙的。 在XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览器。 由于有的服务器并没有对用户的输入进行安全方面的验证,攻击者就可以很容易地通过正...
分类:
其他好文 时间:
2016-01-18 12:19:37
阅读次数:
134
