看到标题,是否有点疑惑 CSP 是什么东东。简单介绍一下就是浏览器的安全策略,如果 标签,或者是服务器中返回 HTTP 头中有 `Content-Security-Policy` 标签 ,浏览器会根据标签里面的内容,判断哪些资源可以加载或执行。阮一峰老师也有关于 CSP 的文章,大家可以看看 ...
分类:
其他好文 时间:
2019-01-03 23:08:14
阅读次数:
308
新版本的 DVWA 有新东西,其中一个就是这个 JavaScript 模块了。玩法也挺特别的,如果你能提交 success 这个词,成功是算你赢了。也看得我有点懵逼。 ...
分类:
编程语言 时间:
2019-01-02 13:33:39
阅读次数:
2163
Cross-site scripting 攻击,为和 CSS 有所区分,所以叫 XSS。又是一种防不胜防的攻击,应该算是一种 **“HTML注入攻击”**,原本开发者想的是显示数据,然而攻击者输入却是有破坏性的代码,而且能被解析执行。Symantec在2007年报告更是指出跨站脚本漏洞大概占所有网站... ...
分类:
其他好文 时间:
2018-12-27 23:45:41
阅读次数:
423
文件包含(file Inclusion)是一种很常见的攻击方式,主要是通过修改请求中变量从而访问了用户不应该访问的文件。还可以通过这个漏洞加载不属于本网站的文件,比如一个 webshell 从而实现网站控制。下面一起来看看 DVWA 中的文件包含漏洞。 ...
分类:
其他好文 时间:
2018-12-27 23:08:40
阅读次数:
235
说起文件上传漏洞 ,可谓是印象深刻。有次公司的网站突然访问不到了,同事去服务器看了一下。所有 webroot 文件夹下的所有文件都被重命名成其他文件,比如 jsp 文件变成 jsp.s ,以致于路径映射不到 jsp 文件,同事怀疑是攻击者上传了个 webshell 文件然后进行批量重命名了。 ...
分类:
Web程序 时间:
2018-12-27 23:00:18
阅读次数:
327
1.端口 在计算机中,不同的端口有着不同的功能,例如80号端口用于浏览网页服务,2 1号端口用于FTP服务等。计算机中可开启的端口数值范围为1~65535。常用的端口有21号端口(FTP:文件传送协议)、23号端口(Telnet:远程登录协议)、53号端口(DNS:域名服务器)、79号端口(fing ...
分类:
其他好文 时间:
2018-12-10 22:35:15
阅读次数:
318
Python真是无所不能,学习Python,一个暑假就够了 !! 入门Python,从黑客入手最好玩、最简单 !! ...
分类:
编程语言 时间:
2018-07-03 22:32:35
阅读次数:
225
下载地址:网盘下载 内容简介 · · · · · · 越来越多的关键应用现在已经迁移到网站上,这些Web应用的安全已经成为各机构的重要挑战。知己知彼,方能百战不殆。只有了解Web应用程序中存在的可被利用的漏洞和攻击者所采用的攻击方法,才能更有效地确保Web安全。本书是Web安全领域专家的经验结晶,系 ...
分类:
Web程序 时间:
2018-02-24 14:52:54
阅读次数:
192
个人开发者与企业开发者的一个主要的区别在于独立开发者授权描述文件必须列出具体的设备。另一个不同就是开发者账户最多使用100台设备,而企业则可以让苹果公司生成未锁定到特定设备并可以安装到任何设备上的授权描述文件。 参考资料:《黑客攻防技术宝典-iOS实战篇》 ...
分类:
移动开发 时间:
2018-02-02 11:31:13
阅读次数:
175
我们不是Hacker,我们只是Hack技术的爱好者。
十几年的时间,万维网由纯粹的静态信息仓库发展为功能强大的应用程序,在这个过程中,多种因素造成了当前应用程序安全保护不足的状态。
多数应用都面临一个核心安全问题:即用户可提交任意输入。如果无法确认输入信息的安全性,应用程序就可能会受到各种形式的攻... ...
分类:
Web程序 时间:
2017-12-28 11:44:03
阅读次数:
273
