简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xs ...
分类:
其他好文 时间:
2020-12-15 12:09:06
阅读次数:
3
简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xs ...
分类:
其他好文 时间:
2020-05-14 22:38:27
阅读次数:
284
一、问题描述 1、浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击。 二、解决方法 Jsonp:最早的解决方案,利用script标签可以跨域的原理实现 限制:需要服务的支持,只能发起GET请求 nginx反向代理 思路是:利用ng ...
分类:
其他好文 时间:
2020-05-05 11:00:49
阅读次数:
61
springboot Xss(跨站脚本攻击) #依赖 <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> <!-- Boole ...
分类:
编程语言 时间:
2020-04-30 13:30:23
阅读次数:
70
一、准备条件 服务器最少3台 二、每个服务器先配置当前域名如下: 1) 配置站点指定可以访问文件路径 2)添加完成之后关闭跨站攻击 三、测试网站域名增加配置(此域名必须备案) upstream myyocotv{ #轮询(默认方式) server 123.11.123.195:8081; serve ...
分类:
其他好文 时间:
2020-04-24 18:40:54
阅读次数:
117
宝塔lnmp安装laravel报错500 1、当响应500无错误信息时,查看php.ini中display_errors是否为On 2、当出现如下错误,则是因为开启了防跨站攻击(open_basedir)配置 Warning: require(): open_basedir restriction ...
分类:
其他好文 时间:
2020-04-08 20:59:17
阅读次数:
400
SQL注入: 原理:用户输入作为SQL命令被执行 SQL注入实践,SQLMAP 黑名单校验: 前端Javascript校验: Content-type校验: 任意文件下载漏洞: 二、跨站脚本漏洞: 原理:跨站漏洞是一种 经常出现在Web应用程序中的计算机安全漏洞,是由于Web 应用程序中对用户的输入 ...
分类:
Web程序 时间:
2020-02-12 16:23:10
阅读次数:
93
最近放假在家确实无聊 看爱情公寓甚至追不上vip的进度 所以在知乎上看了下web安全入门的网课 再结合现在的项目理解了一下这些地方的应用 最基础的就是OWSAP TOP 10 也就是10种比较常见的web应用的攻击方式 首先比较低级的注入和跨站攻击这些都能从前后端进行防范 sql注入在现在的一些官方 ...
分类:
Web程序 时间:
2020-01-31 12:29:41
阅读次数:
101
关闭防跨站攻击(open_basedir)即可! 把钩打掉,记得重启一下php服务哦~即可! ...
分类:
其他好文 时间:
2020-01-28 09:25:13
阅读次数:
77
一.问题产生环境 1.1 为什么会产生跨域问题? 跨域不一定都会有跨域题。 因为跨域问题是浏览器对于ajax请求的一种安全限制; 一个页面发起的 Ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击; 因此: 跨域问题是针对ajax的一种限制但是这却给我们的开发帯来了不便,而且在实际生 ...
分类:
其他好文 时间:
2020-01-16 12:23:04
阅读次数:
201
