web安全相关问题

最新推荐文章于 2021-03-06 11:14:17 发布
最新推荐文章于 2021-03-06 11:14:17 发布
阅读量702 收藏
点赞数
分类专栏: web 前端 文章标签: 安全相关 web 加密 url iframe 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cs_wuxiang/article/details/7952576
版权

起因:

1、http 请求有get与post方式,get最大数据为2KB,而post没有限制。

2、get方式只能是ascii字符,中文要进行转义

加密:

1、传入的数据进行md5加密(王小云破解部分)

2、URL_encode对url进行加密,转码

      (1)escape() 空格,标点符号,非ascii码 转成%+十六进制的形式,(@ + /*)

      (2)encodeUri()采用utf-8转成escape格式的字符串(& ? = ! $ () :/ + @)

      (3)encodeURIComponent() 采用utf-8转成escape格式与(2)相比,将更多的字符进行             转码,如"/"所以不能对URL进行转,不会转的有(! * ())

3、base64 电子邮件或网页

     原理:把每3个8位的字符转成4个6位的字符(3*8 = 4*6),对6位再添高二位,组成8位,

               转换后比原来长1/3


工具:winhex查看数据包


类型:

1、XSS,跨站点攻击,被动示攻击 主动式称为XSS木马攻击(访问别的站点)

2、storeXSS 存储文件

3、Dom-basic XSS http://xx.yy.com?name=<script>alert(e);</script>


应用:

1、 获取用户的cookie document.cookie

2、 隐藏自身iframe


lowin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web三大安全问题和其解决方案
铭小小
03-16 389
XSS 跨站请求攻击 直接举个例子:也就是你发表一篇博客这种,别人会来浏览,你看如果在文章里面写一段带有攻击性的<script><script>的javascript代码,那么问题来了这个js代码依靠他的浏览器执行,获取你浏览器中的cookie,因为你登录信息在里面传到攻击者的服务器。 解决方法:将<>通过&gt &lt转义 XSRF ...
DVWA-XSS(Stored) 全级别教程
weixin_44716769的博客
09-08 2372
XSS(Reflectrd) Low等级 查看源码 1.trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。 2.mysql_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。 3.stripslashes(string)函数删除字符串中的反斜杠。 可以看到,
测试web过滤的功能
dfman的专栏
11-11 1549
Server:IP 192.168.88.39,DNSSERVER 218.106.182.69操作系统 rh9 内核 2.4.20-8 测试时,运行其自带的apache web server访问控制其实只是squid的功能之一,别的用不上的功能可以在编译的时候屏蔽掉。在本次测试中屏蔽了其缓存功能。在squid中,用access control list(acl)来
实例演示——————简单演示XSS store攻击,便于学习理解XSS store
longger_lee
03-09 2275
此次演示环境是DVWA,将盗取cookie代码存储于服务端,受害者点击链接激活盗取cookie代码从而盗取受害者cookie,实施入侵。 一,环境搭建      1,将DVWA环境搭建在192.168.98.168主机上,并确定该环境能正常使用。      2,准备盗取cookie代码。(该步骤在实际攻击中要善于伪装、诱使受害者点击。可写于留言板也可存储在第三方服务器将第三方url诱使受害者
dvwa-12-xss(store)
qq_53755216的博客
03-06 141
储存型XSS攻击 储存型XSS页面实现的功能是:获取用户输入的留言信息,标题和内容,然后将标题和内容插入到数据库中,并将数据库的留言信息输出到页面上。 low <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize me..
Web安全学习笔记-Web-Sec Documentation
01-30
Web安全学习笔记——Web-Sec Documentation是一份详细的知识库,旨在帮助读者理解并掌握Web安全相关的理论和技术。文档首先从Web技术的演化、网络攻防技术的发展以及网络安全观的演变三个方面进行阐述,让读者对Web...
安全Web安全学习笔记
02-26
说来惭愧,6年的web编程生涯,一直没有真正系统的学习web安全知识(认证和授权除外),这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文...
WEB安全审计
03-01
渗透程度有深浅,要看Web服务器的安全程度。浅则窃取一些用户账号相关信息,深则获得管理员账号。最常用的渗透手段是SQL注入、XSS(跨站)、上传漏洞。这里只从防御的角度阐述。1.泄露敏感信息—攻击者可以获取后台...
WEB安全测试资料汇总.rar
02-13
"WEB安全测试资料汇总.rar"这个压缩包包含了多种资源,帮助我们深入理解和实践Web安全测试的相关知识。以下是对这些资源的详细解读: 1. **AppScan使用说明**:IBM AppScan是一款强大的动态应用安全测试(DAST)...
DVWA之Stored XSS(存储型XSS)
谢公子的博客
10-04 9679
目录 Low Medium High Impossible Low 源代码: &lt;?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] );...
XSS 漏洞总结
4ct10n
11-03 1万+
xss一直以来接触最少的类型,现在终于有幸将其总结一下了·····,xss漏洞是目前最为常见的漏洞类型之一,其触发脚本经常与js代码有关,所以要想掌握好xss必须要有深厚的js编码功底。本篇内容是我学习xss的总结,会结合着代码编写与实验,对xss进行系统的讲解,以便我更好的认识xss。
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 407
Web应用程序的安全问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
xss绕过过滤方法分享 及有关web攻击的方法
super_ufo的笔记
08-15 9287
最简单的就是改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则 比如: 可以转换为: 其次关闭标签也可以 有时我们需要关闭标签来使我们的XSS生效,如: “> 使用HEX编码来绕过 我们可以对我们的语句进行hex编码来绕过XSS规则。 比如: 可以转换为: %3c%73%63%72%69%70%74%3e%61%6c
DVWA之XSS
谢公子的博客
08-05 1950
  XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常...
Web中的安全问题
zhoxing
03-14 2907
根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、Cookie盗取,传输层保护不足。  1 SQL注入攻击    随着B/S框架结构在系统开发中的广泛应用,恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后,Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访
判断js中对象的类型
热门推荐
CS_wuxiang的专栏
07-07 2万+
1、typeof  形如 var x = "xx";  typeof x == 'string'      返回类型有:'undefined' “string” 'number' 'boolean'  'function'  'object'                           缺点:对于object类型不能细分是什么类型
监听浏览器最小化与最大化时,执行的动作。
CS_wuxiang的专栏
07-28 1万+
本周做项目时,实现页面内容滚动的一个功能时, 发现在chrome与FF浏览器最小化后,当再次最大化时,滚动出现错位的现象。鉴于此,就去查了下http://html5test.com/ 中是否有相关的支持, 下面列下各个浏览器化如何来监听最小化与最大化的相关code //IE if(document.addEventListener){ document.addEventList
chrome中tampermonkey与github的使用----新浪基金最新数据查询
CS_wuxiang的专栏
10-14 5209
总的目标: 因为最近在纵禄基金网上买了几支基金,每天又好奇基金涨跌数据,刚好新浪又有相关预测值,所以就想在纵禄基金网上挂上新浪的数据,避免每次打开新浪网。 1、要在别人网站上运行相关code,tampermonkey给你方便入口 2、运行的code中要使用一些样式文件以及自己的js库,所以需要把相关文件放到github上让tampermonkey可以访问 具体的实现过程:
前端组件编写经验————图片回去再传
CS_wuxiang的专栏
10-28 2305
Web应用已从单纯的HTML向RIA发展,用户在追求功能基础的同时,也更加青睐于快捷、绚丽和多功能效果的展现。目前基于前端UI组件的封装与开发是众多互联网公司的一种常见选择。然而与传统web页面相比,突然出现大量带有生命周期的javascript领域对象,无疑会减缓浏览器的执行效率与增加对应的内存消耗。在这里,我将带着在开发与重构大集中前端组件中所遇到的一系列问题,与大家一起分享在降低大量java
web安全测试流程详解:从立项到问题修复
"本文主要介绍了web安全测试服务的开展流程,包括流程设计的简介、概要设计以及详细设计,强调了流程、标准和规范在安全测试中的重要性。" 在现代信息化社会,Web应用程序已经成为企业和个人日常运营的核心部分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值