浏览器的同源策略:协议相同、域名相同、端口相同。所有浏览器厂商遵循这种策略。 非同源(跨域)共有三种行为受到限制: cookie、localstorage、和IndexDB无法获取 DOM无法获取 ATAX请求不能发送 这种同源性会有效的阻止CSRF(跨站请求)攻击。 浏览器请求分为两种:(CORS ...
分类:
其他好文 时间:
2020-03-25 21:43:44
阅读次数:
60
今天使用jmeter在开源的OPMS系统上进行登录——添加新项目——测试项目的4种状态; 使用到的jmeter元件有测试计划、线程组、Http请求默认值(填写ip,端口)、HTTP Cookie管理器(像浏览器一样存储和发送cookie(保持登录?),可在查看结果树中查看)、HTTP信息头管理器(尽 ...
分类:
其他好文 时间:
2020-03-25 19:16:34
阅读次数:
55
1. scrapy框架:大而全的爬虫组件。 2. 安装:注意:scrapy依赖Twisted - Win:下载:http://www.lfd.uci.edu/~gohlke/pythonlibs/#twistedpip3 install wheel pip install Twisted-19.10 ...
分类:
其他好文 时间:
2020-03-25 10:51:36
阅读次数:
86
密码找回的逻辑 密码找回逻辑含有用户标识(用户名、用户 ID、cookie)、接收端(手机、邮箱)、凭证(验证码、token),之间需要有完整关联性。还有http参数污染 例如: 1.输入要找回的账号,并验证其是否存在 2.相关的接收端接收相关的账号的相关的凭证 3.找回密码 漏洞的凭证泄露 学习链 ...
分类:
其他好文 时间:
2020-03-25 01:26:30
阅读次数:
92
一、解决跨域、过虑options请求问题 1.创建过虑类 import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Component; import javax.se ...
分类:
编程语言 时间:
2020-03-25 01:25:08
阅读次数:
109
1. 与HTTP关系密切的协议:IP、TCP和DNS IP位于网络层。IP地址、MAC地址、ARP协议、路由协议。 TCP协议传输层,可靠、字节流。 字节流是指为了方便传输,将大块数据分割成以报文段为单位的数据包进行管理。可靠的传输服务是指能够把数据准确可靠地传送给对方。 为了准确无误地将数据送达目 ...
分类:
Web程序 时间:
2020-03-23 22:02:55
阅读次数:
102
影响版本: Apache Shiro <= 1.2.4 原因分析: Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导 ...
分类:
Web程序 时间:
2020-03-23 16:39:23
阅读次数:
1131
CSRF 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: ( ...
分类:
其他好文 时间:
2020-03-23 15:16:43
阅读次数:
78
如何跳过验证码去登录系统: 1.最简便的方法就是让开发提供你一个万能验证码,这样就可以直接使用万能验证码登录 2.添加cookie登录信息,绕过验证码登录 Driver.add_cookie() add_cookie()括号里的参数一定要有name,value的参数,例: driver.add_co ...
分类:
编程语言 时间:
2020-03-23 11:15:42
阅读次数:
67
一、添加登录页面,登录成功页面 1.1 login_auth.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>login_auth登录页面</title> </head> <body> <div s ...
分类:
其他好文 时间:
2020-03-22 19:32:28
阅读次数:
102
