一、标题:关于Cookie安全性设置的那些事 副标:httponly属性和secure属性解析二、引言经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下...2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读这篇文章:js于co...
分类:
其他好文 时间:
2014-10-14 14:30:08
阅读次数:
195
当技术达到一定的地步之后, 思维是关键 把一些基础的技术组合起来,运用起来, 而不是在去学习新的技术像我现在来讲,已经能看懂一些PHP 了, xss+csrf 或者php审计更契合当前的技术。 python +EXP 的编写和爬虫组合更棒, 而不是直接去学新的技术liunx是需要掌握 ,LIUNX是...
分类:
其他好文 时间:
2014-10-10 23:44:14
阅读次数:
284
这种方法不算新,可是很少人用,也很少人能想得到。data:类似于javascript.:,在很大程度上,可以完成javascript的工作.举一个例子:进行XSS测试时,发现javascript与script等关键字都被过滤了(现在一般有点XSS意识的管理员都懂得过滤这两个关键字)。可用下面的语句:...
分类:
其他好文 时间:
2014-10-10 17:00:34
阅读次数:
174
XSS漏洞依照攻击利用手法的不同,有下面三种类型:类型A,本地利用漏洞,这样的漏洞存在于页面中client脚本自身。其攻击步骤例如以下所看到的:Alice给Bob发送一个恶意构造了Web的URL。Bob点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在...
分类:
其他好文 时间:
2014-10-08 15:55:35
阅读次数:
1110
前言 虽然本文是基于YII1.1,但其中提到的安全措施适用于多数web项目安全场景,所以翻译此文,跟大家交流。原文地址。 目录 安全基本措施... 2 验证与过滤用户的输入信息... 2 原理... 2 客户端验证... 2 YII如何防范... 2 跨站脚本攻击XSS. 4 原理... 4 YII...
分类:
Web程序 时间:
2014-10-06 16:56:50
阅读次数:
661
web for pentester是国外安全研究者开发的的一款渗透测试平台,通过该平台你可以了解到常见的Web漏洞检测技术。下载链接及文档说明:http://pentesterlab.com/exercises/web_for_pentester/【安装流程】1. 虚拟机中挂载镜像。 下载好ios镜...
分类:
Web程序 时间:
2014-09-30 20:10:30
阅读次数:
477
'> ='> %3Cscript%3Ealert('XSS')%3C/script%3E %0a%0a.jsp %22%3cscript%3ealert(%22xss%22)%3c/script%3e %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e...
分类:
其他好文 时间:
2014-09-30 16:14:29
阅读次数:
186
1. 跨站脚本(XSS)1.1 介绍1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩1.2 防御1.2.1 HTML 编码Html.Encode1.2.2 HTML 属性编码Ht...
分类:
Web程序 时间:
2014-09-29 17:30:11
阅读次数:
217
常见攻击XSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。但是随着前端技术的不断...
分类:
Web程序 时间:
2014-09-28 22:26:45
阅读次数:
333
