1.XSS原理 跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。 2.XSS分类反射型xss 反射型xss又称非持久 ...
分类:
其他好文 时间:
2021-02-20 12:02:08
阅读次数:
0
难度1-Low 查看代码: <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>He ...
分类:
其他好文 时间:
2021-01-29 11:44:05
阅读次数:
0
httponly:如果给某个 cookie 设置了 httpOnly 属性,则无法通过 JS 脚本 读取到该 cookie 的信息,但还Application 中手动修改 cookie,所以只是在一定程度上可以防止 XSS 攻击,不是绝对的安全 虽然设置了httponly之后拿不到cookie,但是 ...
分类:
Web程序 时间:
2021-01-25 11:04:42
阅读次数:
0
###问题原因: Django的跨站请求伪造中间件:POST请求中缺少csrftoken参数和相关的值。 问题排查:登陆后才会具有csrftoken;ajax中放在header中 ###参考连接: https://docs.djangoproject.com/en/3.1/ref/csrf/#aja ...
分类:
Web程序 时间:
2021-01-25 10:43:40
阅读次数:
0
安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站点请求 发起Blind 请求,模拟合法用户,要 ...
分类:
其他好文 时间:
2021-01-07 12:19:23
阅读次数:
0
就是一个请求从前台到后台处理的过程需要用到的东西,最少包括以下点:js,html,css,ajax,ajax跨域,跨站脚本,web缓存,web优化,nginx,apache作用,鉴权方式,cookie,session,servlet,filter,基本数据结构,线程池,线程并发,缓存,io等等,知识 ...
分类:
其他好文 时间:
2021-01-04 11:32:05
阅读次数:
0
1.JAVA_OPTS=" $JAVA_OPTS -server -Xms4096m -Xmx4096m -Xss512k -XX:PermSize=256M -XX:MaxPermSize=512M -Dfile.encoding=UTF-8" 2.JAVA_OPTS="$JAVA_OPTS -s ...
分类:
编程语言 时间:
2020-12-30 11:15:47
阅读次数:
0
需要用iframe引用一个外部的url。 直接使用接口获取到url,给iframe的src赋值时,报了个RROR Error: unsafe value used in a resource URL context.大概的意思就是资源url不安全 然而我们自己的项目里面有人使用过iframe,果断搜 ...
分类:
其他好文 时间:
2020-12-30 10:43:53
阅读次数:
0
上周公司有一个应用,一到晚上高峰期的时候RT(响应时间)就很长。后来上服务器看了下JVM的配置,发现运维在启动参数那里把-Xss给设成了10M。导致每个线程占用的内存过大,导致内存消耗过快,其它线程排队等待的情况。后来把-Xss改成1M之后,系统性能有明显的提高。 总结: 1.-Xss参数不可以设的 ...
分类:
其他好文 时间:
2020-12-15 12:13:56
阅读次数:
2
简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xs ...
分类:
其他好文 时间:
2020-12-15 12:09:06
阅读次数:
3
