MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻...
分类:
Web程序 时间:
2015-12-27 17:52:01
阅读次数:
193
CSRF(Cross-SiteRequestForgery)跨站点请求伪造,这种攻击方式的特点是:攻击者盗用你的身份,以你的名义进行某些非法操作。CSRF能够使用你的帐户发送邮件,获取你的敏感信息,甚至盗走你的财产。当我们打开或登录某个网站后,在浏览器与网站之间将会产生一个会话,在这个会..
分类:
其他好文 时间:
2015-12-24 10:50:15
阅读次数:
306
说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。 该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidati...
分类:
Web程序 时间:
2015-12-24 07:04:05
阅读次数:
216
参考链接:http://bbs.51cto.com/thread-623419-1.htmlCSRF:跨站请求伪造依靠用户标识危害网站利用网站对用户标识的信任欺骗用户的浏览器发送HTTP请求给目标站点另外可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击。提权:提高自己在服务器中的...
分类:
其他好文 时间:
2015-12-22 21:05:50
阅读次数:
346
MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施。举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:网站后台(Home/Index页面)设置首页公告...
分类:
Web程序 时间:
2015-12-19 21:54:29
阅读次数:
234
先来说说什么是单点登录(SSO)。来自百科的介绍:SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。首...
分类:
其他好文 时间:
2015-12-18 13:05:12
阅读次数:
229
保护ASP.NET 应用免受 CSRF 攻击CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Reques....
分类:
Web程序 时间:
2015-12-13 00:45:01
阅读次数:
291
1 前言近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open We...
分类:
Web程序 时间:
2015-12-11 06:49:26
阅读次数:
244
测试的时候会涉及到xss测试,下面简要整理下xss的知识xss跨站脚本特点就是能注入恶意的HTML/JS代码到用户浏览器,劫持用户会话常用alert来验证网站存在漏洞如果确认存在漏洞,会随着注入的内容不同而产生危害比如:窃取cookie,网页挂马,恶意操作,跨站蠕虫等等分类:反射型:非持久,一般为一...
分类:
其他好文 时间:
2015-12-04 17:57:48
阅读次数:
122
前言:这个小项目是我刚学习JSP时,参考“JSP程序设计”这本书写的。这里之所以说参考这本书而不是照着这本书写,主要是因为我自己完成的时候删掉了不少繁琐的写法(比如:文件上传);同时对书中容易产生SQL注入漏洞,XSS跨站脚本漏洞等地方的写法进行了修改过滤;登录页面加..
分类:
编程语言 时间:
2015-11-30 02:22:55
阅读次数:
268
