![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web
文章平均质量分 60
Tomoon16
这个作者很懒,什么都没留下…
展开
-
XSS手记
XSS攻击: 跨站脚本攻击是攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用身份进行某种动作或对访问者进行病毒侵害的一种攻击方式 原理: 本质上是一种将恶意脚本嵌入到当前网页中并执行的攻击方式。黑客通过HTML注入行为篡改网页,并插入恶意的js脚本,从而在用户浏览网页的时候控制浏览器行为 产生原因: 主要原因是网站对用户提交的数据过滤不严格,攻击者利用其用户身份在输入参数时附带了恶意脚本,在提交到服务器后,服务器没有对用户端传入的参数做原创 2021-05-31 23:31:56 · 341 阅读 · 0 评论 -
CSRF手记
CSRF原理: 用户端于服务器端利用HTTP协议进行交互,并利用请求-相应的方式开展web应用,用户端发出的请求可以被伪造,那么就形成了跨站请求伪造。csrf完全不同于xss。 xss攻击侧重于获取用户的权限和信息;csrf则是攻击者伪造当前用户,让目标服务器误以为请求是由当前用户发起,并利用当前用户权限实现业务请求。 从攻击者视角来说:攻击者伪造一个页面,页面功能为伪造当前用户的请求,当用户点击恶意页面的时候,会自动像当前用户的服务器提交攻击者伪造的业务请求,请求会以当前用户的身份进行执行。 效果: 在当原创 2021-05-31 23:33:36 · 121 阅读 · 0 评论 -
SQL手记
定义:攻击者通过把恶意sql命令插入到web表单的输入域或页面请求的查询字符串中,并且插入的恶意sql命令会导致原有sql语句作用发生改变,从而达到欺骗服务器执行恶意sql命令的攻击。 原因: 用户能够提交非法内容 sqlmap get型注入流程 寻找注入点: 基于方法是参数后面加单引号,观察其返回页面的内容。由于添加单引号会导致sql语句执行错误,因此,若存在SQL注入漏洞,当前页面会报错,或者出现查询内容不显示的情况 1=1 1=2测试 现有三个连接 1 为正常连接 2 为 1=1 3 为1=2 页面原创 2021-05-31 23:32:42 · 103 阅读 · 0 评论 -
HTTP手记
HTTP协议: 特点: 1.简单 可以简单概括为:用户发起请求-服务器响应-新请求重新发起 每次请求均可为独立行为(无状态) 2.支持b/s模式 只要有浏览器即可工作,用户使用简单,已于操作。从某种意义上说,app也可以视为某种特定内容的浏览器 3.灵活 数据传输、视频播放、交互等,因此适应快速迭代的互联网环境 HTTP请求包: 请求行:请求类型、请求文件路径、HTTP版本 请求头:用来向服务器传递客户端自身的信息以及用户的附加信息 请求正文:包含HTTP传输的信息。当请求方法为get时,请求正文原创 2021-05-31 15:19:22 · 100 阅读 · 1 评论