对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一、跨站脚本攻击(X ...
分类:
数据库 时间:
2016-08-08 17:13:03
阅读次数:
337
BruteXSS介绍:BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时,BruteXSS是非常准确而且极少误..
分类:
其他好文 时间:
2016-07-21 11:09:51
阅读次数:
249
上一篇说了一下XSS的原理,相信大家对XSS的原理有了一定的了解。今天给大家分享一下XSS漏洞的实例利用。环境:window764位一台火狐浏览器就位外网云服务器一枚(我自己买的...)可XSS网站一匹获取Cookie的JS代码一套好了,以上就是需要准备的东西,没有的外网云服务器(外网IP..
分类:
其他好文 时间:
2016-07-18 06:04:23
阅读次数:
200
什么是XSS跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入而已html代码,当浏览该页之时,嵌入其中web里面的html代码会被执行,从而达到而已攻击用户的特殊目的。XSS可以..
分类:
其他好文 时间:
2016-07-16 07:15:14
阅读次数:
173
$_SERVER['PHP_SELF']简介 $_SERVER['PHP_SELF'] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://www.php-note.co ...
分类:
Web程序 时间:
2016-07-14 13:28:59
阅读次数:
134
XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。 原文如下: 经过这样的过滤后,应该被攻击的机会会少上很多吧?试试看呢? Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数 ...
分类:
Web程序 时间:
2016-07-14 07:01:54
阅读次数:
272
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博和私信,并 ...
分类:
其他好文 时间:
2016-07-11 13:51:36
阅读次数:
327
发布时间:2010-09-03 影响版本:uchome 2.0 漏洞描述:看源码分析的,出错位置较敏感,而且基本没有利用限制,个人主页自定义风格时,可@import外部css文件 测试方法: 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 以下在uchome 简体utf-8 ...
分类:
其他好文 时间:
2016-07-10 18:08:28
阅读次数:
123
介绍下背景: 用的百度编辑器,准备将<script></script>传给后台,但因为同时有文件需要传,所以用的ajaxfileupload. 经过ajaxfileupload时,$('<input type="hidden" name="' + i + '" value=" ...
分类:
Web程序 时间:
2016-06-27 17:20:24
阅读次数:
255
练习区 一个英文平台的CTF(难度较高, 分类较全):http://www.ringzer0team.com/HackGame2是由blackbap论坛开发的一套在线黑客闯关游戏:http://hackgame.blackbap.org/谷歌XSS漏洞测试游戏:http://xss-game.app ...
分类:
其他好文 时间:
2016-06-01 21:08:52
阅读次数:
785
