之前在做项目的时候有遇到一些安全问题,XSS注入就是其中之一 那么,什么是XSS注入呢? XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行 ...
分类:
Web程序 时间:
2017-09-17 22:08:46
阅读次数:
165
register_globals的安全性 不要让不相关的人看到报错信息 网站安全设计的一些原则 可用性与数据跟踪 过滤用户输入 对输出要进行转义 表单与数据安全 从URL的语义进行攻击 文件上传攻击的防御 跨站脚本攻击的防御 跨站请求伪造CSRF的防御 关于表单欺骗提交 HTTP请求欺骗 不要暴露数 ...
分类:
Web程序 时间:
2017-09-15 20:33:27
阅读次数:
224
覆盖和重载 正则源码 hashmap源码 hashmap与hashtable区别 threadlocal源码 concurrenthashmap源码 序列化 反序列化需要默认构造函数? jvm垃圾回收 jvm引用类型及区别 jvm内存模型 线程 工作内存 主内存 http://www.jianshu ...
分类:
其他好文 时间:
2017-09-03 17:08:47
阅读次数:
157
之前由我负责维护的一个项目被检测出存在可能被XSS攻击的漏洞。 吓得我赶紧恶补了下XSS。 XSS,全称为Cross Site Script,跨站脚本攻击,是WEB程序中一种常见的漏洞。其主要的攻击手段是在在利用网站上的可由用户输入信息的地方,恶意注入含有攻击性的脚本,达到攻击网站或者窃取用户coo ...
分类:
其他好文 时间:
2017-09-01 21:17:30
阅读次数:
245
转载自:http://www.cnblogs.com/dolphinX/p/3403027.html 在跨站脚本攻击XSS中简单介绍了XSS的原理及一个利用XSS盗取存在cookie中用户名和密码的小例子,有些同学看了后会说这有什么大不了的,哪里有人会明文往cookie里存用户名和密码。今天我们就介 ...
分类:
其他好文 时间:
2017-09-01 16:59:23
阅读次数:
268
在跨站脚本攻击XSS中简单介绍了XSS的原理及一个利用XSS盗取存在cookie中用户名和密码的小例子,有些同学看了后会说这有什么大不了的,哪里有人会明文往cookie里存用户名和密码。今天我们就介绍一种危害更大的XSS——session劫持。 神马是session 想明白session劫持及其危害 ...
分类:
其他好文 时间:
2017-08-25 11:05:28
阅读次数:
223
跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 一个简单的留言板 我们有个页面用于允许用户发表留言,然后在页面底部显示留言列表 ...
分类:
其他好文 时间:
2017-08-25 10:54:51
阅读次数:
227
软件测试方法种类繁多,记忆起来混乱, 如果把软件测试方法进行分类, 就会清晰很多。 我参考一些书籍和网上的资料, 把常用的软件测试方法列出来, 让大家对软件测试行业有个总体的看法。 从测试设计方法分类 测试名称 测试内容 Black box黑盒测试 把软件系统当作一个“黑箱”,无法了解或使用系统的内 ...
分类:
其他好文 时间:
2017-08-25 00:09:07
阅读次数:
119
注:本文非本人原著。 demo的地址:链接:http://pan.baidu.com/s/1miEmHMo 密码:k5ca 如何过滤Xss跨站脚本攻击,我想,Xss跨站脚本攻击令人为之头疼。为什么呢。 尤其是有富文本编辑器的产品。xss可能出现在http的head,不说别的,新浪多次出现。 xss可 ...
分类:
编程语言 时间:
2017-08-23 10:39:08
阅读次数:
189
CSRF 一 何为CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。需要注意的是,CSRF与XSS的区别,CSRF是其他网站进行 ...
分类:
Web程序 时间:
2017-08-17 23:39:20
阅读次数:
1626
