就之前本人主持开发的金融产品所遇到的安全问题,设计部分请参见:http://www.cnblogs.com/shenliang123/p/3835072.html这里就部分web安全防护就简单的交流:1.1系统安全1.1.1 客户端脚本安全(1)跨站脚本攻击(XSS): XSS攻击,通常指黑客通过“...
分类:
Web程序 时间:
2014-07-16 21:46:01
阅读次数:
291
http://www.2cto.com/Article/201310/251830.html(1)编码的格式“&#十六进制/十进制(2)实体显示结果描述实体名称实体编号空格 大于号>>&和号&&"引号""xss中最经常用到的编码html实体编...
分类:
Web程序 时间:
2014-07-16 21:32:34
阅读次数:
313
什么是xss盲打?
盲打只是一种惯称的说法,就是不知道后台不知道有没有xss存在的情况下,不顾一切的输入xss代码在留言啊,feedback啊之类的地方,尽可能多的尝试xss的语句与语句的存在方式,就叫盲打。
“xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下,网站采用了攻击者插入了带真实攻击功能的xss攻击代码(通常是使用script标签引入远程的js...
分类:
其他好文 时间:
2014-07-12 16:33:12
阅读次数:
131
npm 管理模块npm安装模块默认为 shell 的当前目录。如果要装成全局的,使用 npm install xss -gnpm help install里的描述是:Packages are dropped into the node_modules folder under the prefix....
分类:
其他好文 时间:
2014-07-11 19:11:53
阅读次数:
602
关于脚本安全这个话题好像永远没完没了,如果你经常到国外的各种各样的bugtraq上,你会发现有一半以上都和脚本相关,诸如SQL injection,XSS,Path Disclosure,Remote commands execution这样的字眼比比皆是,我们看了之后的用途难道仅仅是抓肉鸡?对于我...
分类:
Web程序 时间:
2014-07-09 17:22:51
阅读次数:
259
前言
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。...
分类:
Web程序 时间:
2014-07-04 00:20:21
阅读次数:
224
最近在用kettle做数据统计,遇到了标题中说的问题,解决方法也简单,不过还要说明一下虽然这两个都是内存溢出,但是是有区分的,OutOfMemoryError表示堆溢出,StackOverFlowError表示栈溢出,一般出现前者的情况比较多,后者的情况出现的较少,除非你用了深度循环。一般情况下s..
分类:
其他好文 时间:
2014-07-02 06:21:41
阅读次数:
246
跨站脚本在媒体的帮助下,跨站脚本(XSS)成为了大家关注的焦点,当然它是绝对应当关注的。XSS 是 web 应用中最常见的安全隐患,许多流行的开放源代码的 PHP 应用程序受到 XSS 隐患的困扰。XSS 攻击发生在下面的情况下:对于可获得用户信任的特定站点。用户没有必要用很高的等级信任任何网站,但...
分类:
其他好文 时间:
2014-06-25 12:51:59
阅读次数:
202
XSS漏洞按照攻击利用手法的不同,有以下三种类型:
类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:
Alice给Bob发送一个恶意构造了Web的URL。
Bob点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。
具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaS...
分类:
其他好文 时间:
2014-06-18 12:26:39
阅读次数:
191
