码迷,mamicode.com
首页 >  
搜索关键字:xss    ( 2013个结果
XSS测试用例与原理讲解
1、DIBRG2、 在IE下可以,在FF下不可以3、 IE,FF下均可4、 在IE下可以,在FF下不可以5、 XSS a="get"; b="URL("""; c="javascript:"; d="alert('XSS');"")"; eval(a+b+c...
分类:其他好文   时间:2014-06-19 08:59:06    阅读次数:270
XSS 前端防火墙 —— 可疑模块拦截
上一篇介绍的系统,虽然能防御简单的内联 XSS 代码,但想绕过还是很容易的。由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。昨天提到最简单并且最常见的 XSS 代码,就是加载站外的一个脚本文件。对...
分类:其他好文   时间:2014-06-17 20:14:45    阅读次数:167
XSS 前端防火墙 —— 天衣无缝的防护
上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面。到目前为止,我们防护的深度已经差不多,但广度还有所欠缺。例如,我们的属性钩子只考虑了 setAttribute,却忽视还有类似的 setAttributeNode。尽管从来不用这方法,但并不意味人家不能使用。例如...
分类:其他好文   时间:2014-06-17 19:43:00    阅读次数:233
XSS 前端防火墙 —— 无懈可击的钩子
昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了:静态模块:使用 MutationObserver 扫描。动态模块:通过 API 钩子来拦截路径属性。提到钩子程序,大家会联想到传统应用程序里的 API Hook,以及各种外挂木马。当然,未必是系统函数,任...
分类:其他好文   时间:2014-06-17 15:55:53    阅读次数:208
XSS 前端防火墙 —— 内联事件拦截
关于 XSS 怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未...
分类:其他好文   时间:2014-06-17 15:48:49    阅读次数:378
防御XSS攻击的七条原则
本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为...
分类:其他好文   时间:2014-06-15 13:46:19    阅读次数:223
XSS解决方案系列之四:关于编码
本文准备说明以下几个问题:1. 关于重复编码的问题2. 关于编码的多种形式的问题3. 关于编码的几个常见问题【说明】本文所述编码是指encode,可以理解为转义,而不是编程序写代码。编码或者转义机制替我们解决两个问题:a. 避免保留字冲突问题,对于web应用来说,XSS问题也是其中一类b. 表达不可...
分类:其他好文   时间:2014-06-15 13:36:32    阅读次数:331
XSS与字符编码的那些事儿
目录0x00:基本介绍0x01:html实体编码0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理!0x03:javascript编码0x04:base64编码0x05:闲扯0x00基本介绍提起XSS 想到的就是插入字符字符编码与各种解析了!这也就是各种xss编码插件跟工具出世的原因!之...
分类:其他好文   时间:2014-06-15 13:35:15    阅读次数:507
跨站脚本(XSS)
跨站脚本: cross-site scripting或者XSS, 即攻击者向目标Web站点注入HTML标签或者脚本 如果网站没有通过移除任何嵌入的HTML标签来消毒,那么web页面很容易受到跨站脚本攻击简单例子:下面的js脚本时向用户say helloeg: http://www.examp...
分类:其他好文   时间:2014-06-11 08:40:39    阅读次数:225
学习PHP精粹,编写高效PHP代码之安全性
本文讲述了PHP网站的相关攻击手段,其中包括SQL注入、会话劫持、XSS等攻击手段。本文除了解释各种攻击手段,还提供了各种攻击手段的相关在线资源,供大家参考学习。
分类:Web程序   时间:2014-06-09 19:23:12    阅读次数:261
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!