1,Web 应用十大安全隐患
1) SQL 注入 2) 跨站脚本攻击XSS (Cross Site Scripting) 3) 遭破坏的认证和会话管理 4) 不安全的对象直接引用 5) 伪造跨站请求(CSRF)
6) 安全误配置(Security Misconfiguration) 7) 限制远程访问失败(Failure to Restrict URL Access) 8) 未验证的...
分类:
其他好文 时间:
2014-09-16 19:04:20
阅读次数:
274
参考:http://www.myhack58.com/Article/html/3/7/2012/36142_6.htmhttp://blog.csdn.net/jasontome/article/details/7215468
分类:
数据库 时间:
2014-09-16 18:51:00
阅读次数:
467
前台页面使用@Html.AntiForgeryToken()和Controller中的[ValidateAntiForgeryToken]配合使用可以防止CSRF攻击,详细介绍可查看一下链接:http://www.cnblogs.com/hyddd/archive/2009/04/09/143274...
分类:
数据库 时间:
2014-09-02 19:45:15
阅读次数:
273
//在View中 //自己写的过滤器public class MyValidateAntiForgeryToKenAttribute:FileterAttribute,IAuthorizationFilter{ private void ValidateRequestHeader(HttpRe...
分类:
Web程序 时间:
2014-08-20 19:32:12
阅读次数:
266
在给服务器传值时form利用 $.post( "/member/member/book/" + event_id, { tickets: tickets, csrf_ppw_token : csrf_ppw_token, event_id : ...
分类:
其他好文 时间:
2014-08-16 12:27:30
阅读次数:
191
引起原因:个人认为 csrf 在 Ajax 盛行的今天来说,倒是方便了,因为它可以在你不知道的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作,比如你是管理员可以添加其它的用户到管理组,但是如果有人构造了添加管理员的链接被管理员点后也...
分类:
其他好文 时间:
2014-08-13 10:25:25
阅读次数:
241
ci框架现只支持自动csrf检查或是关闭csrf攻击防范 如何进行手动csrf攻击防范呢,本文给出了解决方案。...
分类:
其他好文 时间:
2014-08-08 16:05:36
阅读次数:
249
事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里我的代码里面开启CodeIgniter框架的CSRF Token,如下:很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php ec...
分类:
其他好文 时间:
2014-08-02 12:35:33
阅读次数:
907
安全性—固若金汤 ? Xss跨站点脚本攻击cross site script.防止手段主要有两种:消毒; httponly? 注入攻击Sql注入和os注入.Sql注入防止手段: 消毒 参数绑定(预处理)? Csrf攻击cross site request forgery跨站点请求伪造 。防御手段主要是识别请求者身份。主要有;表单token; 验证码; referrer ch...
分类:
其他好文 时间:
2014-07-31 16:58:47
阅读次数:
161
1. 我们用 wrapper了WTForms的Flask-WTF扩展来处理表单生成和验证。
2. Cross-Site Request Forgery (CSRF) 保护
配置config,'SECRET_KEY'
3. Form class definition
from flask.ext.wtf import Form
from wtforms import St...
分类:
Web程序 时间:
2014-07-30 12:16:13
阅读次数:
355
