今天所做的努力
都是在为明天积蓄力量

WEB安全

hidden属性的input.MD-流觞博客

hidden属性的input.MD

琴子小白阅读(114)评论(0)赞(0)

今天看到一个XSS漏洞,插入点在一个有hidden属性的input 标签,大致情况如下: 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于...

XXS绕过htmlspecialchars-流觞博客

XXS绕过htmlspecialchars

琴子小白阅读(117)评论(0)赞(0)

xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name = htmlspecialchars($name); ?> <...

利用.htaccess添加X-frame-options响应头

琴子小白阅读(137)评论(0)赞(0)

360网站安全检测结果提示[轻微]X-Frame-Options头未设置,官方的解决方法如下: 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframe或frame中。 ...

CSRF攻击与Yii2

琴子小白阅读(158)评论(0)赞(0)

CSRF攻击: 跨站请求伪造 攻击原理: 攻击者引导受害者访问其指定的URL, 以受害者的身份名义(cookie)发送恶意请求, 执行某些能改变数据的操作. 攻击场景举例: 受害者登录了a.com, 浏览器保存a.com对应的cookie,...

AWVS12 介绍和安装详解-流觞博客

AWVS12 介绍和安装详解

琴子小白阅读(307)评论(0)赞(5)

一、AWVS介绍 Acunetix Web Vulnerability Scanner,简称:AWVS,是一个自动化的Web安全测试工具,它可以扫描Web站点和Web应用。AWVS可以快速扫描SQL注入,XSS攻击,目录遍历,文件入侵,PH...

苹果ATS特性服务器配置指南-流觞博客

苹果ATS特性服务器配置指南

琴子小白阅读(187)评论(0)赞(4)

配置指南: 需要配置符合PFS规范的加密套餐,目前推荐配置:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4 需要在服务端TLS协议中启用...

nginx防止DDOS攻击配置-流觞博客

nginx防止DDOS攻击配置

琴子小白阅读(176)评论(0)赞(0)

防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是...

知名开源框架ThinkPHP出现严重漏洞必需立即进行修复-流觞博客

知名开源框架ThinkPHP出现严重漏洞必需立即进行修复

琴子小白阅读(199)评论(0)赞(0)

国产知名开源框架ThinkPHP 目前被发现存在严重安全漏洞,并且在野外已经有黑客等利用此漏洞展开攻击。 黑客利用此漏洞可以获得网站管理权篡改内容或导出数据,官方称此漏洞主要是未对控制器进行足够的检查。 需要再次强调的是此漏洞危害极高相关攻...

黑客”入门学习之“Cookie技术详解-流觞博客

黑客”入门学习之“Cookie技术详解

琴子小白阅读(180)评论(0)赞(1)

“黑客”入门学习之“Cookie技术详解” "重放攻击"大家应该听说过吧?重放攻击时黑客常用的攻击方式之一,攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一...

常见编辑器漏洞

琴子小白阅读(226)评论(0)赞(0)

FCKeditor FCKeditor 编辑器页 FCKeditor/_samples/default.htmlFCKeditor/_samples/default.htmlFCKeditor/_samples/asp/sample01.a...

今天所做的努力都是在为明天积蓄力量

联系我们留言建议