原文 http://www.cnblogs.com/r00tgrok/articles/Web-Hacking.html前些日子看完了白帽子讲Web安全,当时就PHP安全一 章做了点小笔记,感觉看书还是留下点东西比较好。翻开Web前端黑客技术揭秘一书决定要做笔记,但是这样下来其实进度就比较慢了,敲字...
分类:
Web程序 时间:
2014-12-10 01:46:10
阅读次数:
321
电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题。...
分类:
Web程序 时间:
2014-12-09 19:43:45
阅读次数:
222
??
1、概述
S2-016是13年7月爆出的,那时候的我还没涉及Web安全研究。这次迟到的分析也算是对过去的补充。这个漏洞影响了Struts 2.3.15.1之前的所有版本。问题主要出在对于特殊URL处理中,redirect与redirectAction后面跟上Ognl表达式会被服务器执行。
2、漏洞分析
分析开源框架的漏洞还是从其源码入手,问题出在了DefaultActii...
分类:
其他好文 时间:
2014-12-05 01:59:51
阅读次数:
201
XSS攻击及防御:http://blog.csdn.net/ghsau/article/details/17027893 Web攻防系列教程之跨站脚本攻击和防范技巧详解:http://www.rising.com.cn/newsletter/news/2012-04-25/11387.html Web安全测试之XSS:htt...
分类:
其他好文 时间:
2014-12-02 16:43:47
阅读次数:
169
相信大家也遇到过标题所示的情况。笔者就是经过强烈的斗争,结果把那些大流氓,大坏蛋给清除.其实已经思考了好多天才试验解决的.主要情况:主页明明已经锁定为空白页.却指向类似: www.hao123.com/?tn=29065018_49_hao_pg解决方法如下:1.一般是看是否木马,经过查核,没有发现...
分类:
其他好文 时间:
2014-11-29 10:20:14
阅读次数:
181
作为一只小小小白的安全新手,只会简单的用sqlmap扫扫网站,用burpsuite的proxy模块拦截一些请求。最近又对proxy有点儿小理解,记录之。1. 查看sqlmap注入的语句以及HTTP request/response信息sqlmap是很好用的自动测试工具,但有时候想要查看请求具体的内容...
分类:
Web程序 时间:
2014-11-27 00:06:25
阅读次数:
641
http://www.fontsquirrel.com/fontface@font-face是CSS3中的一个模块,他主要是把自己定义的Web字体嵌入到你的网页中,随着@font-face模块的出现,我们在Web的开发中使用字体不怕只能使用Web安全字体,你们当中或许有许多人会不自然的问,这样的东西...
分类:
Web程序 时间:
2014-11-26 13:40:18
阅读次数:
243
但多数情况下,考虑各个因素的影响我们还是在尽量充分利用这些默认调用的字体实现CSS的编写,这里整理了19个Web安全字体,让你无需任何顾虑的情况下畅快使用。1, Arial微软公司的网页核心字体之一,最常用的sans-serif字体,当字号很小时不容易阅读。但是,大写的“I”和小写的“l”是无法.....
分类:
Web程序 时间:
2014-11-26 11:00:41
阅读次数:
214
Password type input with autocomplete enabledThe autocomplete attribute works with the following types: text, search, url, tel, email, password, date....
分类:
Web程序 时间:
2014-11-26 10:57:37
阅读次数:
183
