起因是这样,从freebuf上看到一篇文章,推荐xss自动扫描器链接如下:http://www.freebuf.com/tools/43194.html于是默默的下了一个,想跑跑玩玩,装了一天,到现在还没有搞好,各种奇葩的问题想歇会儿了- -先整理一份儿记录在这儿1. cmd 进入相应的目录: C....
分类:
编程语言 时间:
2014-09-27 21:22:50
阅读次数:
213
1.XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到...
分类:
Web程序 时间:
2014-09-26 19:43:28
阅读次数:
257
1、绕过过滤 a、利用标记注入HTML/JavaScript :所以过滤的就是或注:这里不用ie低版本了;更多的可以进行变形 d、对标签属性值转码 HTML Characters编码; e、产生自己的事件 其余的事件: onResume onReverse onRowD...
分类:
其他好文 时间:
2014-09-21 18:15:30
阅读次数:
321
最近一直在研究XSS的攻防,特别是dom xss,问题慢慢的迁移到浏览器编码解码顺序上去。今儿被人放鸽子,无奈在KFC看了两个小时的资料,突然有种豁然开朗的感觉。参考资料先贴出来:1.http://www.freebuf.com/articles/web/43285.html2.http://www...
分类:
Web程序 时间:
2014-09-21 01:39:39
阅读次数:
399
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊一、跨站脚本攻击(XSS...
分类:
数据库 时间:
2014-09-19 22:28:36
阅读次数:
379
XSS全称cross-site scripting攻击指的是攻击者往Web页面里插入恶意html标签或者JavaScript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。比如:(1)点击一个看起来安全的链接...
分类:
其他好文 时间:
2014-09-19 18:58:55
阅读次数:
146
XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。XSScrapy的XSS漏洞攻击测试向量将会覆盖Http头中的Referer字段User-Agent字段Cookie表单(包括隐藏表单)URL参数RUL末尾,如www.example.co...
分类:
其他好文 时间:
2014-09-17 11:45:42
阅读次数:
204
1,Web 应用十大安全隐患
1) SQL 注入 2) 跨站脚本攻击XSS (Cross Site Scripting) 3) 遭破坏的认证和会话管理 4) 不安全的对象直接引用 5) 伪造跨站请求(CSRF)
6) 安全误配置(Security Misconfiguration) 7) 限制远程访问失败(Failure to Restrict URL Access) 8) 未验证的...
分类:
其他好文 时间:
2014-09-16 19:04:20
阅读次数:
274
参考:http://www.myhack58.com/Article/html/3/7/2012/36142_6.htmhttp://blog.csdn.net/jasontome/article/details/7215468
分类:
数据库 时间:
2014-09-16 18:51:00
阅读次数:
467
1、xss是什么? XSS攻击:跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。 在跨站点脚本攻击中,恶意代码在受影响用户的浏览器端执行,并对用户的影响。2、xss可以干嘛? 弹框,很多人都觉得这个很好玩(仅仅是为了验证XSS攻击的存在); 盗...
分类:
其他好文 时间:
2014-09-16 15:53:20
阅读次数:
232
