Web安全
s1mba
这个作者很懒,什么都没留下…
展开
-
有关Web 安全学习的片段记录(不定时更新)
1、有关html/css, js, php, cgi 的一些认识 当我们浏览器访问一个站点的静态文件,会把文件内容都下载下来(一般压缩),当然如果遇到外联的css/js,会再发起请求得到。如果我们右键查看网页源代码,一片混乱没法看,可以使用firefox + firebug,可以清晰看到html dom tree,右键inspent element 可以很快定位到tree原创 2014-10-26 18:59:42 · 4430 阅读 · 0 评论 -
JSONP存在的JSON Hijacking漏洞以及与csrf/xss漏洞的关系
在实习过程中接触过所谓的JSON Hijacking 漏洞,但最近在写论文时发现理解得不深,好像跟xss与csrf又有点区别与联系,索性深入学习了下JSONP。下面一段话截取自:http://stackoverflow.com/questions/2067472/what-is-jsonp-all-about举例原创 2015-01-28 22:19:49 · 8968 阅读 · 0 评论 -
Struts2 S2-045 漏洞触发流程不严谨推测
// 根据 已有的一些信息和修复版本的代码,推测应该是如下的触发流程// 因为没有测试环境,也只是不严谨的代码触发流程推测,不保证正确性,欢迎大神交流分享。//core\src\main\java\org\apache\struts2\dispatcher\multipart\JakartaMultiPartRequest.javapublic void parse(HttpServlet原创 2017-03-07 20:04:04 · 4772 阅读 · 0 评论