摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。关键字:SQL注入...
分类:
数据库 时间:
2015-06-10 17:12:34
阅读次数:
224
以前真没注意过后面看某个群有人说到这个函数一查,还真有,那么处理时间戳就简单很多了,我们经常在各种网站上看到类似于这样的时间戳130224589953051Testing软件测试网"d b�L�q!u�R&a�m 做时间戳的目的是为了JS缓存和防止CSRF,在LR中可以简单的使用下面这个函数web_...
分类:
Web程序 时间:
2015-06-08 21:09:51
阅读次数:
266
前文CSRF攻击和漏洞的参考文章:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.htmlLaravel默认是开启了CSRF功能,需要关闭此功能有两种方法:方法一打开文件:app\Http\Kernel.php把这行注释掉:'App\H...
分类:
Web程序 时间:
2015-06-05 19:35:10
阅读次数:
384
《Web前端黑客技术揭秘》作者:余弦&Xisigr简述:强烈推荐!国内第一本专注前端方面的书,详细讲述了包括但不仅限于XSS、CSRF、ClickJacking等攻击类型。《白帽子讲Web安全》作者:吴翰清 Axis简述:内容比较综合且基础,较为全面并详细的讲述了作者的安全世界观,值得一读!《黑客攻...
分类:
Web程序 时间:
2015-06-03 15:38:18
阅读次数:
287
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站...
分类:
Web程序 时间:
2015-05-31 12:12:12
阅读次数:
120
CSRF 背景与介绍CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,...
分类:
其他好文 时间:
2015-05-29 17:32:10
阅读次数:
134
下面转的两篇文章分别说明了以下两个概念和一些解决方法:1. CSRF - Cross-Site Request Forgery - 跨站请求伪造2. CORS - Cross Origin Resourse-Sharing - 跨站资源共享(1. CSRF)转自:http://www.h3c.com...
分类:
其他好文 时间:
2015-05-25 18:13:48
阅读次数:
211
1.CSRF 保护from flask import Flaskapp = Flask(__name__)app.config['SECRET_KEY'] = 'secret_key string'app.config字典可用来存储框架、扩展和程序本身的配置变量。使用标准的字典语法就能把配置值添加到...
分类:
Web程序 时间:
2015-05-21 22:32:46
阅读次数:
899
由于xss和csrf都是改变用户请求参数来达到恶意攻击的目的,所以,如果我们从参数改变这一点切入,就没有问题了,做法很简单:
将参数加密后传递,这样请求被拦截篡改的参数将不能被服务器解密,因而拒绝请求。...
分类:
其他好文 时间:
2015-05-21 19:37:58
阅读次数:
167
