最近研究XSS,根据etherDream大神的博客延长XSS生命周期写了一个子页面父页面相互修改的demo。一、 子页面、父页面相互修改——window.opener、window.open在父页面修改子页面,是用到了window.open函数:在子页面修改父页面的话,用到的是window.open...
分类:
编程语言 时间:
2015-04-12 20:56:16
阅读次数:
174
场景回顾 一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求。 首先,部署proxy.html代理页面。这个页面处理服务端返回的数据,并执行接口的回调函数。接口请求成功后,返回的是: proxy页面,解析服务端传回的参数...
分类:
其他好文 时间:
2015-04-11 22:20:15
阅读次数:
132
在前一篇文章xms/xmx/xss在kette中的调优设置中,我对kettle进行了一次优化,这次我们再一次进行优化,这次效果非常明显,这次优化有两部分:一、修改jvm添加xmn,二、修改日志输出级别 在Java TM Performance一书...
分类:
其他好文 时间:
2015-04-11 18:04:32
阅读次数:
162
OWASP top 10的安全威胁中的CrossSite Scripting(跨站脚本攻击),允许攻击者通过浏览器往网站注入恶意脚本。这种漏洞经常出现在web应用中需要用户输入的地方,如果网站有XSS漏 洞,攻击者就可以通过这种漏洞向浏览网站的用户发送恶意脚本,同时也可以利用该漏洞偷取session...
分类:
其他好文 时间:
2015-04-07 15:21:58
阅读次数:
179
前言译者注:翻译本文的最初原因是当我自己看到这篇文章后,觉得它是非常有价值。但是这么著名的一个备忘录却一直没有人把它翻译成中文版。很多人仅仅是简单的把文中的各种代码复制下来,然后看起来很刁的发在各种论坛上,不过你要真去认真研读这些代码,就会完全不知所云了。原因是这篇文章最精华的部分是代码的解释而非代...
分类:
其他好文 时间:
2015-04-07 11:49:49
阅读次数:
133
本文首先简单介绍开发测试人员如何对 Web 应用进行 XSS 漏洞测试,如何借助工具绕过客户端 JavaScript 校验输入恶意数据;然后针对使用 PHP 语言构建的 Web 站点,从在输出端对动态内容进行编码、以及在服务器端对输入进行检测两方面介绍如何避免恶意的 XSS 攻击。使用 PHP 构建...
分类:
Web程序 时间:
2015-04-05 11:44:11
阅读次数:
224
概述 安全在web领域是一个永远都不会过时的话题,今天我们就来看一看一些在开发ASP.NET MVC应用程序时一些值得我们注意的安全问题。本篇主要包括以下几个内容 :认证授权XSS跨站脚本攻击跨站请求伪造认证 所谓认证,简单的来说就是验证一个用户的身份。这取决于我们开发的站点的类型,是否允许匿名.....
分类:
Web程序 时间:
2015-04-02 18:33:22
阅读次数:
214
原文地址:http://java.dzone.com/articles/xss-filter-java-ee-web-appsCross Site Scripting, or XSS, is a fairly common vector used to attack web sites. It in...
分类:
移动开发 时间:
2015-04-01 14:53:42
阅读次数:
347
0x00
在CI框架中,获取get和post参数是使用了$this->input类中的get和post方法。
其中,如果get和post方法的第二个参数为true,则对输入的参数进行XSS过滤,注意只是XSS过滤,并不会对SQL注入进行有效的防范。
例子:
Controller中,定义一个shit方法,获取get数据:
指定了第二个参数为true:
(1)XSS测试...
分类:
数据库 时间:
2015-04-01 00:28:13
阅读次数:
410
这是我在网上找到的关于Eclipse的优化方法,非常给力,特转来以作收藏。首先了解下JVM中几个相关的概念:Xms:最小堆大小Xmx:最大堆大小Xmn:年轻代堆大小Xss:每个线程的堆大小PermSize:初始持久代大小MaxPermSize:最大持久代大小一般Xms、Xmx设置相同,PermSiz...
分类:
系统相关 时间:
2015-03-31 17:50:08
阅读次数:
175
