本月博客排行
-
第1名
龙儿筝 -
第2名
johnsmith9th -
第3名
wy_19921005 - zysnba
- sgqt
- lemonhandsome
年度博客排行
-
第1名
宏天软件 -
第2名
青否云后端云 -
第3名
龙儿筝 - gashero
- wallimn
- vipbooks
- benladeng5225
- wy_19921005
- fantaxy025025
- qepwqnp
- e_e
- 解宜然
- zysnba
- ssydxa219
- sam123456gz
- javashop
- arpenker
- tanling8334
- kaizi1992
- xpenxpen
- gaojingsong
- wiseboyloves
- xiangjie88
- ranbuijj
- ganxueyun
- sichunli_030
- xyuma
- wangchen.ily
- jh108020
- lemonhandsome
- zxq_2017
- jbosscn
- Xeden
- luxurioust
- lzyfn123
- zhanjia
- forestqqqq
- johnsmith9th
- ajinn
- nychen2000
- wjianwei666
- hanbaohong
- daizj
- 喧嚣求静
- silverend
- mwhgJava
- kingwell.leng
- lchb139128
- lich0079
- kristy_yy
最新文章列表
web安全防范之XSS漏洞攻击
原文出处:http://netsecurity.51cto.com/art/201301/378948.htm
这篇博客也不错:http://blog.csdn.net/ghsau/article/details/17027893
网站通常会遇到的攻击;攻击方法也很多;
原理:向网页内注入可执行代码,从而达到入侵目的。
危害:破坏页面结构,导致页面显示问题;
更严重的会盗取当前用户的cookie, ...
YY直播厅蠕虫病毒代码
本来是可以直接通过<script>标签实现的,但是昨天被YY官方给屏蔽了。
下面的代码是通过img标签的onerror事件进行触发。所有看到这条消息的在线用户会被自动感染,并继续感染其他用户,因为这段代码有自我复制能力。.
<img height="0" width="0" src="xx" onerror= ...
预防WEB页面XSS漏洞的简单方式
输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。
比如:在输入框,输入姓名“张三confirm(123)”
如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞。
xss漏洞很好预防,只要在参数输出时转码就行了。
预防方式,只要输出时做处理:
(1)jstl:<c:out value= ...
Cross-site scripting,XSS
XSS 是一种很常见的攻击手段,在该攻击中攻击者将一个恶意代码段注入到一个运行良好的站点中。XSS 攻击有如下两种基本的类型:
Reflected XSS
Stored XSS
Reflected XSS
Reflected XSS 攻击的前提条件是某Web应用程序会把用户输入的信息不加检查和限制地返回给用户。一个常见的例子就是,用户登录时,输入用户名和密码,比如用户Joe登 录,密 ...
bboss跨站攻击白名单和脚本攻击防火墙配置
本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置
首先看一个完整的过滤器配置:
<filter>
<filter-name>CharsetEncoding</filter-name>
<filter-class>com.frameworkset.common.filter.SessionCharsetEncod ...
java web 利用filter 防止 Xss 攻击
<!--@分隔 -->
<filter>
<filter-name>xssFilter</filter-name>
<filter-class>com.yoro.core.web.XssFilter</filter-class>
<init-param>
<param-nam ...
Java Web 过滤Xss 代码
随着社会的发展,企业对项目的要求越来越高,特别是和安全相关的项目,要求不能有注入,Xss等等。博主今天分享一个过滤Xss代码的过滤器。
package com.vti.filter;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;
import javax.ser ...
xsser.me平台搭建
环境
wamp 2.2
其它 apache + mysql 平台也可以
安装过程
web根目录下建立xss目录,解压文件到此目录下
修改/xss/config.php,修改数据库名称、用户名、密码
修改/xss/config.php,修改url起始地址
// 例如 修改成 localhost/xss
$config['urlroot'] ='http://localhost ...
pentesterlab xss漏洞分析
pentesterlab简介
pentesterlab官方定义自己是一个简单又十分有效学习渗透测试的演练平台。
pentesterlab环境搭建
官方提供了一个基于debian6的镜像,官网下载镜像,使用vmware建立一个虚拟机,启动即可。
ps:官方文档建议做一个host绑定,方便后面使用
windows下hosts文件目录:C:\Windows\System32\Drivers\etc\ ...
web常见攻击七–夸张脚本攻击(XSS)
我是在dvwa(Damn Vulnerable Web App)上学到的这些东西,我把dvwa安装在了我的免费空间上,有兴趣的可以看看。DVWA
想要用户名和密码的可以联系我:sq371426@163.com
dvwa 用的验证是google提供的,详情见google CAPCTHE
web常见攻击七–夸张脚本攻击(XSS)
Spring MVC防御CSRF和XSS
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。
说说CSRF
对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情 ...