Stella981 Stella981
3年前
Spring MVC防御CSRF、XSS和SQL注入攻击
说说CSRF对CSRF(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Fen.wikipedia.org%2Fwiki%2FCrosssite_request_forgery)来说,其实Spring3.1(https://www.oschina.net/acti
Stella981 Stella981
3年前
CRLF在过滤XSS语句后打Cookie方式
     看了很长时间的漏洞奖励计划,学到了不少骚姿势,我觉得这个姿势很不错,总结下写篇文章发出来。针对CRLF漏洞打cookie的方法。     这里不讲概念挖掘方式了,以实战为主:          阅读文章前先参考文章:http://www.ruanyifeng.com/blog/2016/04/cors.html          这篇文
Stella981 Stella981
3年前
Django是如何防止注入攻击
注入攻击XSS攻击CSRF攻击介绍请访问:https://www.cnblogs.com/hwnzy/p/11219475.html(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fwww.cnblogs.com%2Fhwnzy%2Fp%2F11219475.html)
Stella981 Stella981
3年前
Burp之Collaborator使用技巧
注:本文仅供学习参考0x01Collaborator的用途0x02Collaborator的原理0x03Collaborator的实践0x01Collaborator的用途在我们进行渗透测试的时候,可能会遇到这种情况,测试xss的时候插入了脚本,无法立即触发,例如提交反馈表单,需要等
Wesley13 Wesley13
3年前
获取标题失败~
跨站的艺术XSSFuzzing的技巧(https://my.oschina.net/u/3352375/blog/867931"跨站的艺术XSSFuzzing的技巧")对于XSS的漏洞挖掘过程,其实就是一个使用Payload不断测试和调整再测试的过程,这个过程我们把它叫做Fuzzing;同样是Fuzzing,有些人挖洞比较高效
Wesley13 Wesley13
3年前
CSRF攻击与防御(写得非常好)
    转载地址:http://www.phpddt.com/reprint/csrf.htmlCSRF概念:CSRF跨站点请求伪造(Cross—SiteRequestForgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:    攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是
可莉 可莉
3年前
10大最重要的Web安全风险之二
OWASPTOP10A1注入   A2跨站脚本(XSS)  A3错误的认证和会话管理 A4不正确的直接对象引用  A5伪造跨站请求(CSRF)    CrossSiteRequestForgeryA7限制远程访问失败 A8未验证的重定向和传递 A9不安全的加密存储   
Wesley13 Wesley13
3年前
CSRF攻击原理以及防御方法(写的很好)
转载地址:http://www.phpddt.com/reprint/csrf.htmlCSRF概念:CSRF跨站点请求伪造(Cross—SiteRequestForgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:    攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成
新增富文本单元格和XSS过滤器
一.富文本单元格        皕杰设计器新增了单元格富文本类型,我们在一些网站编辑文章的时候经常可以看到富文本和markdown等编辑器,其中以Word为例,输入文字后,选择不同的功能(通常是通过点击某个图标),例如加粗或者调整字体大小,处理