struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证。CSRF 攻击原理如下图:CSRF 攻击原理图事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么也中招了呢?struts2 token 校验原理如图所示:Struts2 token 验证原理图对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将...
分类:
其他好文 时间:
2015-01-06 18:01:21
阅读次数:
341
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in Web applications. XSS enables attackers to inject client-si...
分类:
其他好文 时间:
2015-01-05 10:49:38
阅读次数:
160
click me 用a标签来弹窗"> 在网页过滤了 如果想缩短,可以把上面的参数合并,像这样:String.fromCharCode(76,90,83,66);"> 遇到过滤") 也就是调用js文件xxx 如果想缩短,可以把上面的参数合并,像这样:String.fromCharCode(76,90....
分类:
其他好文 时间:
2014-12-30 22:05:36
阅读次数:
501
1、往项目web.xml中增加以下的代码:XssFiltercom.jf.app.utils.XssFilterXssFilter/*2、网上下载一个jar包:jsoup-1.7.2.jar并引入至项目。3、往项目增加两个类:XssFilter.java和XssHelper.java。百度下,有很多...
分类:
其他好文 时间:
2014-12-29 11:37:46
阅读次数:
151
偶平时在做安全测试时,一般是以发现问题为主,点到为止,但做安全的同学可能也遇到过这样的问题,当你尝试向开发的同学描述一个漏洞危害怎么怎么样的时候,双方经常会有一种鸡同鸭讲的感觉,甚至他们觉得我们在夸大其词去影响他们去修复,其实面对开发的同学的质疑,我也觉得合理,毕竟你用XSS去弹个框,能说明什么呢?...
分类:
其他好文 时间:
2014-12-28 11:32:32
阅读次数:
214
这是在测试YS“本地相册”功能时发现的一个反射型XSS,自己在安全测试过程中也发现过不少XSS漏洞,唯独这个的发现过程有点区别。 在此之前,我在测试另外一个模块的功能接口的时候发现了一个反射型XSS,当我在测试“本地相册”这个功能的时候,当我用burp拦截到HTTP请求时,发现该请求有3个参数,仔细...
分类:
其他好文 时间:
2014-12-25 20:18:26
阅读次数:
133
针对 PHP 的网站主要存在下面几种攻击方式::1、命令注入(Command Injection)2、eval 注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL 注入攻击(SQ...
分类:
Web程序 时间:
2014-12-25 19:58:20
阅读次数:
306
发现问题
最近我们的服务器频繁的遭到黑客攻击,真是让人头疼啊,痛定思痛,仔细想想为什么我们会被攻击呢,肯定是我们的代码有漏洞啊,那么我们如何检测我们站点的漏洞呢,首先比较大众的就是通过360网站安全检测(http://webscan.360.cn/),但是发现这个太简单了,不够专业,那么我们再来一个专业的Acunetix
Web Vulnerability Scanner,这个软件是收费的,...
分类:
编程语言 时间:
2014-12-22 19:41:03
阅读次数:
482
在FCK或百度编辑器等常用富文本编辑器中,通常是会被XSS攻击处理方法:文本框模拟输入了以下文本我是一个span我是一个p我是一个b我是一个a过滤文本ShareCommon.ComXSS x = new ShareCommon.ComXSS();txtNew.Text = x.filter(txtO...
分类:
其他好文 时间:
2014-12-22 16:02:41
阅读次数:
123
