最近学习web安全问题总结如下: 一、跨站脚本攻击(xss) 向web页面插入恶意代码,主要为涉及到用户输入的地方。 永远不要相信用户的输入。需要做检测(比如特殊字符显示时进行转义)。 二、跨站点请求伪造(CSRF) 伪造连接请求,在用户不知道的情况下一用户的身份发送请求。 注意点:用token或者
分类:
Web程序 时间:
2016-02-28 22:43:09
阅读次数:
163
CSRF(Cross-SiteRequestForgery)跨站点请求伪造,这种攻击方式的特点是:攻击者盗用你的身份,以你的名义进行某些非法操作。CSRF能够使用你的帐户发送邮件,获取你的敏感信息,甚至盗走你的财产。当我们打开或登录某个网站后,在浏览器与网站之间将会产生一个会话,在这个会..
分类:
其他好文 时间:
2015-12-24 10:50:15
阅读次数:
306
说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。 该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidati...
分类:
Web程序 时间:
2015-12-24 07:04:05
阅读次数:
216
先来说说什么是单点登录(SSO)。来自百科的介绍:SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。首...
分类:
其他好文 时间:
2015-12-18 13:05:12
阅读次数:
229
按问题类型分类的问题使用 SQL 注入的认证旁路2已解密的登录请求3登录错误消息凭证枚举1会话标识未更新2跨站点请求伪造1Missing "Content-Security-Policy" header 9Missing "X-Content-Type-Options" header 9Missin...
分类:
移动开发 时间:
2015-11-10 12:11:23
阅读次数:
565
从客户端(content=" &nb...")中检测到有潜在危险的 Request.Form 值。说明: ASP.NET 在请求中检测到包含潜在危险的数据,因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试,如跨站点脚本攻击。如果此类型的输入适用于您的应用程序,则可包括....
分类:
其他好文 时间:
2015-10-22 10:43:02
阅读次数:
1591
csrf:crosssiterequestforgery攻击方式:php:curlphp:fsockopen防御:1、表单token(随机数)2、验证码3、referercheck(检查header中的referer)
分类:
其他好文 时间:
2015-09-30 14:46:59
阅读次数:
133
目录Java EE : 一、图解Http协议Java EE : 二、图解 Cookie(小甜饼)Java EE : 三、图解Session(会话)概述一、概述二、详细介绍Cookie 传输过程三、谈Cookie的作用到XSS(跨站点脚本攻击)四、总结参考一、概述首先从HTTP说起,Cookie是Ht...
分类:
编程语言 时间:
2015-09-23 18:38:38
阅读次数:
167
本文主要选择常见web攻击手段之一的XSS(跨站点脚本攻击)来进行讲解,说明其攻击原理,并提出相应的解决办法。XSSXSS 攻击,全称是“跨站点脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading Style Sheets,CSS)区别开,以免混淆。
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代...
分类:
Web程序 时间:
2015-08-26 09:32:29
阅读次数:
218
