最新文章列表

web安全防范之XSS漏洞攻击

原文出处:http://netsecurity.51cto.com/art/201301/378948.htm 这篇博客也不错:http://blog.csdn.net/ghsau/article/details/17027893 网站通常会遇到的攻击;攻击方法也很多; 原理:向网页内注入可执行代码,从而达到入侵目的。 危害:破坏页面结构,导致页面显示问题; 更严重的会盗取当前用户的cookie, ...
高军威 评论(0) 有769人浏览 2014-12-09 10:36

XSS蠕虫攻击

XSS (cross-site scripting),即跨站脚本攻击,它的本质还是一种“HTML注入”,用户的数据被当成了HTML代码一部分来执行,从而混淆了原本的语义,产生了新的语义。 来看一张某网站遭受XSS攻击后的图片, 其实就是攻击者发送了一段html代码,就达到了上述的效果。 <img height="0" width="0" src=& ...
jag522 评论(0) 有2269人浏览 2014-09-22 22:40

YY直播厅蠕虫病毒代码

本来是可以直接通过<script>标签实现的,但是昨天被YY官方给屏蔽了。 下面的代码是通过img标签的onerror事件进行触发。所有看到这条消息的在线用户会被自动感染,并继续感染其他用户,因为这段代码有自我复制能力。.   <img height="0" width="0" src="xx" onerror= ...
yunchow 评论(0) 有2510人浏览 2014-09-22 21:52

预防WEB页面XSS漏洞的简单方式

输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。 比如:在输入框,输入姓名“张三confirm(123)” 如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞。 xss漏洞很好预防,只要在参数输出时转码就行了。 预防方式,只要输出时做处理: (1)jstl:<c:out value= ...
xiemingmei 评论(0) 有3978人浏览 2014-08-19 10:29

Cross-site scripting,XSS

XSS 是一种很常见的攻击手段,在该攻击中攻击者将一个恶意代码段注入到一个运行良好的站点中。XSS 攻击有如下两种基本的类型: Reflected XSS Stored XSS Reflected XSS Reflected XSS 攻击的前提条件是某Web应用程序会把用户输入的信息不加检查和限制地返回给用户。一个常见的例子就是,用户登录时,输入用户名和密码,比如用户Joe登 录,密 ...
xss 
qian0021514578 评论(0) 有604人浏览 2014-08-12 17:04

bboss跨站攻击白名单和脚本攻击防火墙配置

本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置 首先看一个完整的过滤器配置: <filter> <filter-name>CharsetEncoding</filter-name> <filter-class>com.frameworkset.common.filter.SessionCharsetEncod ...
yin_bp 评论(0) 有1112人浏览 2014-08-01 09:56

java web 利用filter 防止 Xss 攻击

<!--@分隔 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.yoro.core.web.XssFilter</filter-class> <init-param> <param-nam ...
Xss 
huangpengpeng 评论(0) 有5718人浏览 2014-07-14 11:08

Java Web 过滤Xss 代码

    随着社会的发展,企业对项目的要求越来越高,特别是和安全相关的项目,要求不能有注入,Xss等等。博主今天分享一个过滤Xss代码的过滤器。   package com.vti.filter; import java.io.IOException; import java.util.Arrays; import java.util.List; import javax.ser ...
__SuRa丶Rain 评论(0) 有4484人浏览 2014-04-08 23:54

gitbucket1.8版本 关于readme.md的XSS漏洞

       最近在利用gitbucket用作项目开发中的代码托管工具。简单介绍一下gitbucket:gitbucket是一个仿github界面的代码托管工具。使用scala语言开发,利用jgit开源工具管理和操作git命令,内置了一个轻量级的内存数据库h2数据库(轻量到就一个jar包)。这个项目更新的比较快,目前最近的版本已经到1.11。        在使用1.8版本时,遇到一个XSS漏 ...
wjf2255 评论(0) 有887人浏览 2014-03-10 17:27

xsser.me平台搭建

环境 wamp 2.2 其它 apache + mysql 平台也可以 安装过程 web根目录下建立xss目录,解压文件到此目录下 修改/xss/config.php,修改数据库名称、用户名、密码 修改/xss/config.php,修改url起始地址 // 例如 修改成 localhost/xss $config['urlroot'] ='http://localhost ...
tinyhema 评论(0) 有4141人浏览 2014-02-17 22:46

pentesterlab xss漏洞分析

pentesterlab简介 pentesterlab官方定义自己是一个简单又十分有效学习渗透测试的演练平台。 pentesterlab环境搭建 官方提供了一个基于debian6的镜像,官网下载镜像,使用vmware建立一个虚拟机,启动即可。 ps:官方文档建议做一个host绑定,方便后面使用 windows下hosts文件目录:C:\Windows\System32\Drivers\etc\ ...
tinyhema 评论(0) 有3441人浏览 2014-01-14 00:38

防范XSS攻击

如何杜绝跨站脚本 • 输入输出过滤元字符 – <> – () – &、#、%、? • 输入输出转义元字符 – '<' → &lt; '>' → &gt; – '&' → &amp; – ' → %#027; " → &quot;   方法一、过滤特殊字符 如<script>、< ...
XSS 
accphc 评论(0) 有4927人浏览 2013-12-25 11:19

web常见攻击七–夸张脚本攻击(XSS)

我是在dvwa(Damn Vulnerable Web App)上学到的这些东西,我把dvwa安装在了我的免费空间上,有兴趣的可以看看。DVWA 想要用户名和密码的可以联系我:sq371426@163.com dvwa 用的验证是google提供的,详情见google CAPCTHE   web常见攻击七–夸张脚本攻击(XSS)
smallearth 评论(0) 有661人浏览 2013-12-06 20:05

xssProject在java web项目中应用

1.项目引入xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar包 2.封装request   public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = nul ...
冰糖葫芦 评论(10) 有17026人浏览 2013-11-11 14:51

Spring MVC防御CSRF和XSS

本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情 ...
sauzny 评论(0) 有6648人浏览 2013-10-18 11:01

XSS攻击一例

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。 下面一个例子演示怎样进行XSS攻击: Tom发现"Victim.com"网站有 ...
cuishen 评论(0) 有1783人浏览 2013-08-12 17:55

白帽子讲web安全 笔记

安全的重要性不用多说,很多安全问题只是开发人员没想到,但不代表不存在。   读《白帽子讲web安全》的笔记:   核心原则:Secure By Default 原则(黑白名单); 纵深防御原则; 数据与代码分离原则; 不可预测性原则。     白帽子讲web安全-1.安全世界观 http://coderbee.net/index.php/readingnote/20130722/ ...
wen866595 评论(0) 有1915人浏览 2013-07-30 19:56

HttpClient 4.0 保持登录session 访问网页

session的保持是通过cookie来维持的,所以如果用户有勾选X天内免登录,这个session 就X天内一直有效,就是通过这个cookie来维护。如果没选X天内免登录,基 ...
huangzhir 评论(3) 有22148人浏览 2013-06-01 01:34

最近博客热门TAG

Java(141747) C(73651) C++(68608) SQL(64571) C#(59609) XML(59133) HTML(59043) JavaScript(54918) .net(54785) Web(54513) 工作(54116) Linux(50906) Oracle(49876) 应用服务器(43288) Spring(40812) 编程(39454) Windows(39381) JSP(37542) MySQL(37268) 数据结构(36423)

博客人气排行榜

    博客电子书下载排行

      >>浏览更多下载

      相关资讯

      相关讨论

      Global site tag (gtag.js) - Google Analytics