CSRF 跨站请求伪造攻击 CSRF 原理 下图大概描述了 CSRF 攻击的原理,可以理解为有一个小偷在你配钥匙的地方得到了你家的钥匙,然后拿着要是去你家想偷什么偷什么。 CSRF 攻击必须要有三个条件: (1)用户已经登录了站点 A,并在本地记录了 cookie (2)在用户没有登出站点 A 的情 ...
分类:
其他好文 时间:
2020-07-28 22:19:38
阅读次数:
61
跨域问题及解决 # xss:跨站脚本攻击,cors:跨域资源共享,csrf:跨站请求伪造 # 1 同源策略:请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同. # 2 CORS:跨域资源共享,允许不同的域来我的服务器拿数据 # 3 CORS请求分成两类:简单请求(s ...
分类:
编程语言 时间:
2020-07-28 22:17:26
阅读次数:
82
/// <summary> /// 防XSS攻击 /// date:2020-07-28 /// </summary> public class XssFilter : ActionFilterAttribute { private const string strRegex = @"<[^>]+? ...
分类:
其他好文 时间:
2020-07-28 16:59:08
阅读次数:
62
一、背景 CSRF是一种常见的跨站伪造请求攻击,它通过伪造真实用户的请求,来欺骗服务器以实现非法操作的目的。相比于xss攻击,它无法读取到用户的cookie等隐私信息,但可以在规则之内做一些用户未感知的危险操作。 二、原理 它利用浏览器无法区分请求是否是用户真实操作的特点,来自动向被攻击服务发送请求 ...
分类:
其他好文 时间:
2020-07-26 19:21:30
阅读次数:
81
一、背景 在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。 二、原理 xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。 通常我们访问一个安全的网 ...
分类:
其他好文 时间:
2020-07-26 15:56:23
阅读次数:
73
0x00 漏洞描述 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授 ...
分类:
其他好文 时间:
2020-07-26 01:29:21
阅读次数:
66
Nginx基本安全优化 隐藏Nginx软件版本号信息 一般来说,软件的漏洞都和版本有关,这个很像汽车的缺陷,同一批次的要有问题就都有问题,别的批次可能就都是好的。因此,我们应尽量隐藏或者消除Web服务对访问用户显示各类敏感信息(例如Web软件名称以及版本号等信息),增加恶意用户攻击服务器的难度,从而 ...
分类:
其他好文 时间:
2020-07-26 00:31:29
阅读次数:
97
E. World of Darkraft: Battle for Azathoth 题目大意: 给你n个武器和m个防御,每一个武器有一个攻击值 a 和这个武器的价格,每一个防御有一个防御值b和这个防御的价格,有p个怪物,每一个怪物有一个防御值x攻击值y,和打赢这个怪物收获的价值z。 你买一个武器和一 ...
分类:
其他好文 时间:
2020-07-24 15:46:28
阅读次数:
96
枚举通常被认为是常量,但是具有公共字段或公共setter的枚举不仅是非常量,而且容易受到恶意代码的攻击。理想情况下,枚举中的字段是私有的,并在构造函数中设置,但如果不能这样做,则应该尽可能降低它们的可见性。 不合规的代码示例 public enum Continent { NORTH_AMERICA ...
分类:
其他好文 时间:
2020-07-24 15:44:37
阅读次数:
68
勤打补丁。 2、安装个安全狗、D盾 之类的免费软件,就能拦截恶意扫描 和 大部分脚本攻击。 3、弄个CDN,能防止真实IP泄露,这样就不怕被DDOS了,同时开启CDN的防CC功能, 能免疫CC攻击,也能防止而已扫描。 推荐免费CDN:CloudFlare ,防CC攻击 超级厉害 ,而且完全免费。 ...
分类:
其他好文 时间:
2020-07-24 09:43:51
阅读次数:
76
