####基本概念 CSRF(Cross-Site Request Forgery),跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向相关对应服务器发送请求,从而完成非法操作。 ####攻击 ...
分类:
其他好文 时间:
2020-06-03 00:51:54
阅读次数:
81
####定义 XSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和JS脚本)注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击 ...
分类:
其他好文 时间:
2020-06-03 00:24:06
阅读次数:
237
你们公司的会话保持(session共享)怎么做的? # 开发做会话保持,将用户登录信息存储在redis,MySQL,文件共享存储...中 1.记录用户的登录状态(logined=1) 2.通过用户对应的user_id跟cookie结合,记录用户的登录状态(明确知道是哪个用户登录的) 3.不安全,如果 ...
分类:
Web程序 时间:
2020-06-01 23:53:15
阅读次数:
98
什么是cookie?
cookie是后端服务器,传给浏览器的一段字符串,作用是用来记录用户登录的状态,和数据库中的user id结合,可
以保证知道是哪一个用户登录的。仅存储在浏览器。
# 什么是session?
session是后端服务器,传给浏览器的一段字符串,作用也是用来记录用户的登录状态(... ...
分类:
其他好文 时间:
2020-06-01 23:37:12
阅读次数:
72
##什么是 XSS 攻击,如何避免? 答: 概念:XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种,它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 目的:想办法获取目标攻击网站的cookie,因为有了cookie相当于有了s ...
分类:
其他好文 时间:
2020-06-01 16:53:35
阅读次数:
73
这里就总结一下,自己没有做出来的原因:没队友交流、时间紧 Web2 比赛时抓包看cookie里面有jwt,就去google发现是jwt伪造,原题也看到了,只要能伪造好jwt,就能直接登录无需密码 卡题原因:不知道jwt的密钥,现学现卖不是强项 说实话,也没有想到要用到解密工具,因为既然不知道admi ...
分类:
Web程序 时间:
2020-06-01 13:31:27
阅读次数:
121
by 太阳雪 在之前的课程中,介绍过 Flask-Login 框架,它是基于 Session 和 Cookie 技术来实现用户授权和验证的,不过 Session 有很多的局限性,这一节介绍一种基于 token 的验证方式 —— JWT (JSON Web Token),除了对 JWT 的概念讲解之外 ...
分类:
其他好文 时间:
2020-06-01 12:23:30
阅读次数:
83
xss(跨站脚本攻击) 原理:攻击者可以通过在页面中注入恶意链接或者脚本代码,当受害者访问时,脚本代码会在其浏览器中执行,这个时候,我们可以获取当前用户的cookie或者进行重定向等操作。 xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。 xs ...
分类:
其他好文 时间:
2020-06-01 12:04:15
阅读次数:
48
开始复习网络基础了,这个是真学了又忘,忘了又学 1. 简单的HTTP协议 超文本传输协议,规范了浏览器和服务器的数据交互,其是基于TCP协议进行连接的,而传输的内容就是HTTP 浏览器即客户端发送的HTTP我们称之为请求报文,反之叫响应报文 1.1 报文的组成 报文首部 + 空行 + 报文主体 请求 ...
分类:
Web程序 时间:
2020-05-31 23:16:25
阅读次数:
105
