1.跨站脚本攻击(XSS)跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和JavaScript。 攻击原理 例如有一个论坛网站,攻击者可以在上面发布以下内容: <script>location.href="//domai ...
分类:
Web程序 时间:
2020-09-17 17:53:25
阅读次数:
29
加班偷着懒没做一堆九月份迭代的工作,实现了一下小程序的启动页。效果是这样的: 关注公众号查看效果 app.json 将启动页路径放在pages数组的第一项,tabBar中list正常放置。 start.wxml先写一个容器显示背景图片,image标签上使用bindload方法,动态计算屏幕宽高,以适 ...
分类:
微信 时间:
2020-09-15 21:07:30
阅读次数:
57
1.前言有些时候我们需要在SpringBootServletWeb应用中声明一些自定义的ServletFilter来处理一些逻辑。比如简单的权限系统、请求头过滤、防止XSS***等。本篇将讲解如何在SpringBoot应用中声明自定义ServletFilter以及定义它们各自的作用域和顺序。2.自定义Filter可能有人说声明ServletFilter不就是实现Filter接口嘛,没有什么好讲的!是
分类:
编程语言 时间:
2020-09-08 20:53:17
阅读次数:
55
一、对于XSS防御: 1、不要信任任何外部传入的数据,针对用户输入作相关的格式检查、过滤等操作,以及转义字符处理。最普遍的做法就是转义输入输出的内容,对于括号,尖括号,斜杠进行转义 function escape(str) { str = str.replace(/&/g, '&') str ...
分类:
Web程序 时间:
2020-08-24 16:32:46
阅读次数:
71
0x00前言CSRF漏洞的严重性在很大程度上取决于漏洞的位置。有时,错误的CSRF保护机制会导致无关紧要的问题,例如未经授权的设置更改或清空用户的购物车。有时,它们会导致更大的问题:用户信息泄漏,XSS甚至一键式帐户接管。我在CSRF中遇到了一些导致严重安全问题的案例。通常,这些是CSRF和其他较小的设计缺陷的组合。0x01CSRF泄漏用户信息CSRF有时会导致信息泄漏。应用程序经常根据用户偏好发
分类:
其他好文 时间:
2020-08-12 15:36:47
阅读次数:
48
进入第六关 简单判断过滤情况 <>script"'/ 查看源代码 可以看到第二个红框部分跟之前类似,闭合双引号尝试进行弹窗 "><script>alert(1)</script> 关键字被下划线分割了,尝试使用前一关的payload "><a href="javascript:alert(1)">h ...
分类:
其他好文 时间:
2020-08-11 10:39:30
阅读次数:
85
这是程序员cxuan的第四篇硬核分享先来看一下本篇文章的思维导图吧,我会围绕下面这些内容进行讲解。内容很干,小伙伴们看完还希望不吝转发。(高清思维导图版本关注作者公众号Java建设者回复Java666获取,其他思维导图获取方式在文末)。下面开始我们的文章。Java概述什么是Java?Java是SunMicrosystems于1995年首次发布的一种编程语言和计算平台。编程语言还比较好理解,那么什么
分类:
编程语言 时间:
2020-08-10 10:59:17
阅读次数:
79
XSS总结 XSS的可利用方式 1.在登录后才可以访问的页面插入xss代码,诱惑用户访问,便可直接偷取用户cookie,达到窃取用户身份信息的目的。 2.修改昵称,或个人身份信息。如果别的用户在登录状态下访问被插入xss代码的自己的个人身份页面,则可达到窃取用户身份信息的目的。 3.在管理员后台插入 ...
分类:
其他好文 时间:
2020-08-08 23:44:25
阅读次数:
80
1.开通阿里云服务器(ESC) 详见博客,一下略过... https://www.刘竹.cn/290.html 2.安装运行环境 使用LAMP来搭建(Ubnutu16.04 Apache Php7.1) Linux + Apache + Httpd + Mysql + PHP 在镜像中选择LAMP环 ...
分类:
其他好文 时间:
2020-08-07 21:42:42
阅读次数:
75
