前言 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码。当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意攻击用户的特殊目的。 环境准备 和前几次一样,还是用PHP来做演示吧。由于XSS的产生是伴随着输入和 ...
分类:
Web程序 时间:
2017-06-13 22:42:06
阅读次数:
227
原文链接:请猛击 本文我只截取了一小部分知识,请看原文。 一:基础知识:加盐哈希( Hashing with Salt) 我们已经知道,恶意攻击者使用查询表和彩虹表,破解普通哈希加密有多么快。我们也已经 了解到,使用随机加盐哈希可以解决这个问题。但是,我们使用什么样的盐值,又如何将其 混入密码中? ...
分类:
其他好文 时间:
2017-06-09 00:46:41
阅读次数:
222
sql的注入是一个很困扰人的问题,一些恶意攻击者可以利用sql注入来获取甚至是修改数据库中的信息,尤其是一些比较敏感的密码一类的数据。 sql注入主要利用mysql 的注释将后续应正常执行的语句注释掉以达到恶意攻击者的目的 还可以通过使用'的方式来打断sql语句的执行 还可以通过通过输入or 1=1 ...
分类:
数据库 时间:
2017-06-05 10:14:58
阅读次数:
230
案例: 其中,用eval()解析的话,如果json有一些代码,如:{"age":"alert(你好)"},他也会帮你实行,而JOSN.parse();则会自动报错。所以一般都用JSON方法,以防他人的恶意攻击。 发送的话直接写成json格式就可以了,然后用XMLHttpRequest对象发送。 ...
分类:
Web程序 时间:
2017-05-29 18:16:18
阅读次数:
142
5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击。 什么是比特币勒索蠕虫病毒? 这次攻击的始作俑者是一款名为“WannaCry”(中文名:想哭 ...
分类:
其他好文 时间:
2017-05-16 00:42:19
阅读次数:
326
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,进而达到某些人的攻击目的。 比如在有get接收的链接后面加入?id=19"><div+style%3Dwidt ...
分类:
Web程序 时间:
2017-05-13 22:11:01
阅读次数:
405
unlock.js是一款jQuery滑动解锁插件。目前很多网站在用户登录和注册时,为防止恶意攻击,采用来滑动解锁的验证方式。用户需要滑动指定的滑块到指定位置,才能通过验证。unlock.js可以实现这种滑动解锁功能。 查看演示 下载源码 unlock.js插件具有以下特点: 滑动解锁。 尺寸、颜色、 ...
分类:
Web程序 时间:
2017-05-05 17:22:04
阅读次数:
201
了解常见的PHP应用程序安全威胁,可以确保你的PHP应用程序不受攻击。因此,本文将列出 6个常见的 PHP 安全性攻击,欢迎大家来阅读和学习。 1、SQL注入 SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入 ...
分类:
Web程序 时间:
2017-04-27 23:13:20
阅读次数:
360
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码 ...
分类:
其他好文 时间:
2017-04-26 16:39:34
阅读次数:
319
跨站请求伪造(防护) 任何Web应用所面临的一个主要安全漏洞是跨站请求伪造,通常被简写为CSRF或XSRF,发音为"sea surf"。这个漏洞利用了浏览器的一个允许恶意攻击者在受害者网站注入脚本使未授权请求代表一个已登录用户的安全漏洞。 为了防范伪造POST请求,我们会要求每个请求包括一个参数值作 ...
分类:
其他好文 时间:
2017-04-25 00:43:24
阅读次数:
244