XSS 存在的三个条件 网站应用程序必须接受用户的输入信息 用户的输入会被网站用来创建动态内容 用户的输入验证不充分 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击 输入过滤 使用黑名单,从用户的输入中删除 <scrip ...
分类:
Web程序 时间:
2020-01-27 15:25:37
阅读次数:
83
XSS攻击即为(Cross Site Scripting), 中文为跨站脚本。 之所以它的名字不是CSS而是XSS,是为了区分CSS。 XSS攻击是发生在目标用户的浏览器上的,当渲染DOM树的过程中执行了不该执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不是“跨站”,而是“脚本” 页面执行不该 ...
分类:
Web程序 时间:
2020-01-27 15:23:08
阅读次数:
149
源(origin): <protocol, domain, port> Protocol: http://, file://, ftp:// Domain: microsoft.com, google.com Port: 80, 8080, 21, 3128, etc (1)SOP 使用网站的源信息 ...
分类:
Web程序 时间:
2020-01-27 15:22:55
阅读次数:
143
什么是 CSRF Cross-site request forgery( 跨站请求伪造 ) CSRF 利用服务器对用户浏览器的信任 被攻击网站依赖用户的身份认证 攻击者使得用户的浏览器发送 HTTP 请求到目标网站 CSRF 的步骤(用户浏览器主动完成) 攻击者确定目标网站(存在CSRF漏洞的网站: ...
分类:
Web程序 时间:
2020-01-27 12:38:32
阅读次数:
92
HTML(Hypertext Markup Language):指定网页静态内容的语言 Hypertext:文本、多媒体、链接... Markup:可以用来标识文档结构和内容类型的特殊符号,即标签 2.2HTML重要元素 标签 Anchors 使用标签 <a> 来设置,可以链接到网络上的任意文件 h ...
分类:
Web程序 时间:
2020-01-27 12:35:09
阅读次数:
78
HTTP 持久性 (1)HTTP 是一个无状态的协议:服务器不记录请求之间的关系 e.g. 购物,提交购物车、付钱两次请求之间,http协议不记录这两个请求之间的关系 (2HTTP 如何实现会话的持久性的呢? Cookie HTTP Cookie Cookie 的用途 (1)Cookie 用户浏览器 ...
分类:
Web程序 时间:
2020-01-27 12:34:57
阅读次数:
91
为什么需要SSL? 明文不安全 明文传输的用户名和密码被侦听到 实验:使用wireshark抓包 Phishing(钓鱼攻击): http://item.taobao.com/ http.//item.taobao/auction.com/ 什么是SSL? 1994.网景公司(Netscape) S ...
分类:
Web程序 时间:
2020-01-27 12:32:16
阅读次数:
124
DOM (Document Object Model,文档对象模型) HTML DOM 定义了访问和操作 HTML 文档的标准方法 DOM 以树结构表达 HTML 文档 通过 HTML DOM,JavaScript 能够访问和改变 HTML 文档的所有元素 通过这个对象模型,JavaScript 获 ...
分类:
编程语言 时间:
2020-01-27 12:31:45
阅读次数:
91
PHP(HyperText Preprocessor,超文本预处理器) PHP 功能 PHP 可以生成动态页面内容 PHP 可以创建、打开、读取、写入、关闭服务器的文件 PHP 可以收集表单数据 PHP 可以发送和接收cookies PHP 可以添加、删除、修改数据库中的数据 PHP 可以加密数据 ...
分类:
Web程序 时间:
2020-01-27 12:31:28
阅读次数:
125
非对称加密示例 (SSL.SSL工作过程.非对称加密) Alice和Bob进行加密传输 Bob公开自己的公钥91 Alice把三位数123乘以91,将乘积的末三位发给Bob 如123×91=11193;将193发送给Bob Bob将收到的数乘11,取后三位,得到原始信息 如:193×11=2123, ...
分类:
Web程序 时间:
2020-01-27 12:22:39
阅读次数:
117
