0x00
在CI框架中,获取get和post参数是使用了$this->input类中的get和post方法。
其中,如果get和post方法的第二个参数为true,则对输入的参数进行XSS过滤,注意只是XSS过滤,并不会对SQL注入进行有效的防范。
例子:
Controller中,定义一个shit方法,获取get数据:
指定了第二个参数为true:
(1)XSS测试...
分类:
数据库 时间:
2015-04-01 00:28:13
阅读次数:
410
1、往项目web.xml中增加以下的代码:XssFiltercom.jf.app.utils.XssFilterXssFilter/*2、网上下载一个jar包:jsoup-1.7.2.jar并引入至项目。3、往项目增加两个类:XssFilter.java和XssHelper.java。百度下,有很多...
分类:
其他好文 时间:
2014-12-29 11:37:46
阅读次数:
151
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。例如在有get接收的链接后面添加?id=19">会导致页面错乱,甚至还会有弹出框!下...
分类:
Web程序 时间:
2014-12-16 19:02:12
阅读次数:
239
记得之前看过一篇文章,这样来形容XSS “ 如果把浏览器看作WEB2.0后时代的操作系统,那么客户端脚本就相当于传统的应用程序,而XSS的攻击方式其实就相当于在被攻击者的系统上执行了一个木马程序。但这种“木马”有个很大的缺点,就是无法像传统木马那样在操作系统中安家,以后还能自动执行。 ”
这可能是对XSS的最好诠释了吧,但是XSS究竟是什么?下面就跟小菜来一窥其神秘面容吧。
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户...
分类:
其他好文 时间:
2014-12-16 15:08:19
阅读次数:
162
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。
下面是thinkphp里面的一段代码,用于过滤xss...
分类:
Web程序 时间:
2014-12-16 11:48:53
阅读次数:
289
原文链接 http://www.cnblogs.com/r00tgrok/p/Bypass_WAF_and_XSS_Filter_And_Fingerprinting.html[译文] -- “Modern Web Application Firewalls Fingerprinting and B...
分类:
其他好文 时间:
2014-12-10 01:42:24
阅读次数:
398