XSS漏洞按照攻击利用手法的不同,有以下三种类型:
类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:
Alice给Bob发送一个恶意构造了Web的URL。
Bob点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。
具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaS...
分类:
其他好文 时间:
2014-06-18 12:26:39
阅读次数:
191
ASP.NET MVC 过滤器(三)
前言
本篇讲解行为过滤器的执行过程,过滤器实现、使用方式有AOP的意思,可以通过学习了解过滤器在框架中的执行过程从而获得一些AOP方面的知识(在顺序执行的过程中,这种编程模式就是横向的插入点),言归正传,我们还是以学习过滤器为主。对于IAuthorizationFilter授权认证过滤器的使用篇幅,我知道怎么用但是写不出来,里面包含知识点很多,功底尚浅写了...
分类:
Web程序 时间:
2014-06-18 11:29:37
阅读次数:
241
常用注解元素
@Controller
标注在Bean的类定义处
@RequestMapping
真正让Bean具备
Spring MVC Controller
功能的是
@RequestMapping
这个注解
@RequestMapping
可以标注在类定义处,将
Controller
和特定请求关联起来;
还可以标注在方法签名处,以便进一步对请求进行分流
配套的...
分类:
编程语言 时间:
2014-06-17 23:06:38
阅读次数:
284
5.1、处理器拦截器简介Spring Web MVC的处理器拦截器(如无特殊说明,下文所说的拦截器即处理器拦截器)类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。5.1.1、常见应用场景1、日志记录:记录请求信息的日志,以便进行信息监控、信息统计、计算PV(Page ...
分类:
编程语言 时间:
2014-06-17 20:32:11
阅读次数:
280
上一篇介绍的系统,虽然能防御简单的内联 XSS 代码,但想绕过还是很容易的。由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。昨天提到最简单并且最常见的 XSS 代码,就是加载站外的一个脚本文件。对...
分类:
其他好文 时间:
2014-06-17 20:14:45
阅读次数:
167
项目是使用spring MVC(1)在浏览器中访问,后台总报错:Java代码NomappingfoundforHTTPrequestwithURI[/exam3/welcome]inDispatcherServletwithname'spring2'查了好半天,才发现是controller没有扫描到...
分类:
移动开发 时间:
2014-06-17 20:04:22
阅读次数:
494
上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面。到目前为止,我们防护的深度已经差不多,但广度还有所欠缺。例如,我们的属性钩子只考虑了 setAttribute,却忽视还有类似的 setAttributeNode。尽管从来不用这方法,但并不意味人家不能使用。例如...
分类:
其他好文 时间:
2014-06-17 19:43:00
阅读次数:
233
昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了:静态模块:使用 MutationObserver 扫描。动态模块:通过 API 钩子来拦截路径属性。提到钩子程序,大家会联想到传统应用程序里的 API Hook,以及各种外挂木马。当然,未必是系统函数,任...
分类:
其他好文 时间:
2014-06-17 15:55:53
阅读次数:
208
关于 XSS 怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未...
分类:
其他好文 时间:
2014-06-17 15:48:49
阅读次数:
378
Cold weather is coming and in some northern states is already here. That means it’s time to winterize your car. Vehicle maintenance is something we do...
分类:
其他好文 时间:
2014-06-17 14:39:34
阅读次数:
255
