1、CSRF : Cross Site Request Forgery. 该攻击通过在授权用户访问的页面中包含链接或脚本的方式工作。是一种依赖Web浏览器的、被混淆过的代理人攻击。 2、常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 另外可以通 ...
分类:
Web程序 时间:
2017-01-19 02:04:21
阅读次数:
234
1、新标签的XSS H5中定义类很多新标签、新事件可能带来XSS(为研究XSS攻击H5的变化成立项目 HTML 5 Security Cheatsheet) eg: 1) <video src=" " onloadedmetadate="alter(XSS)"> 远程加载视频 2) <audio> ...
分类:
Web程序 时间:
2017-01-19 01:30:46
阅读次数:
186
一、SQL注入: 1、注入攻击的本质:把用户输入的数据当代码执行。 攻击的关键点:1、用户能够控制输入; 2、原本程序要执行的代码, 2、盲注(Blind Injection):在服务器没有错误回显时完成的注入攻击。 3、时序攻击(Timing Attack):利用BENCHMARK()函数(mys ...
分类:
Web程序 时间:
2017-01-19 00:43:28
阅读次数:
246
漏洞作者: 猪猪侠 漏洞详情 披露状态: 2015-01-13: 细节已通知厂商并且等待厂商处理中2015-01-14: 厂商已经确认,细节仅向厂商公开2015-01-24: 细节向核心白帽子及相关领域专家公开2015-02-03: 细节向普通白帽子公开2015-02-13: 细节向实习白帽子公开2 ...
分类:
数据库 时间:
2017-01-11 07:55:20
阅读次数:
233
Grinder是比较有名的浏览器FUZZ框架,采用ruby语言编写,主要是作为测试框架来使用,在《白帽子讲浏览器安全》一书中作者使用了Nduja生成测试样本来配合Grinder使用。根据网上的资料,nduja、fileja的自动化部署默认都以Grinder作为支撑环境。 Grinder分为 Node ...
分类:
其他好文 时间:
2016-12-28 01:35:18
阅读次数:
322
0×01 前言: 《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因 ...
分类:
其他好文 时间:
2016-10-27 01:11:57
阅读次数:
227
第二章 浏览器安全 1、同源策略 它是由Netscape提出的一个著名的安全策略。 现在所有支持JavaScript的浏览器都支持这个策略。 同源是指:协议、端口、域名相同。 现在所有支持JavaScript的浏览器都支持这个策略。 同源是指:协议、端口、域名相同。 eg:当一个浏览器的两个tab页 ...
分类:
Web程序 时间:
2016-10-26 00:19:37
阅读次数:
144
XSS Cross Site Script; XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 1、XSS根据效果划分三类: 1)反射型XSS(非持久型XSS):简单的把用户输入的数据“反射”给浏览器。黑客往往需要诱导用户点击一 ...
分类:
Web程序 时间:
2016-10-25 23:46:51
阅读次数:
285
第1章我的安全世界观1.1web安全简史1.1.1中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”,因为互联网存在这大量的利益。1.1.2黑客技术的发展历程1.1.3web安全的兴起web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足..
分类:
Web程序 时间:
2016-10-09 00:51:12
阅读次数:
229
第2章浏览器安全2.1同源策略同源策略是浏览器的安全基矗同源策略的作用是让"document"相互独立。影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。注意:对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的是加载javascri..
分类:
Web程序 时间:
2016-10-09 00:50:01
阅读次数:
162
