web
文章平均质量分 79
d_0xff
To be the best!
展开
-
CSRF的防御
wooyun大神的讲解 抄袭一遍加深一下记忆关于CSRF的防御 就要牢牢抓住几个特点1.跨域 2.伪造第一种跨域:我们发现CSRF的请求都是跨域的,针对这一点我们可以在服务端对HTTP请求的Referer字段进行检查。一般情况下,用户提交的都是站内的请求,其中Referer中的地址来源应该是站内的地址。至关重要的一点就是前端的JavaScript无法修改Referer字段。这也是这种方法成立的条件转载 2016-05-16 00:09:06 · 1005 阅读 · 0 评论 -
文件包含漏洞
简单的来说,就是我们用一个可控的变量作为文件名并以文件包含的的方式调用了它,漏洞就产生了。以PHP为例文件包含漏洞可以分为RFI(远程文件包含)和LFI(本地文件包含漏洞)两种。而区分他们最简单的方法就是php.ini中是否开启了allow_url_include。如果开启了可能包含远程文件,如果不是有可能包含本地的文件。php文件包含漏洞产生的原因是在通过php函数引入文件的时候,由于传入的文件爱转载 2016-07-12 11:38:30 · 392 阅读 · 0 评论