安全
文章平均质量分 72
renfengmei
小佩网络科技(上海)有限公司 技术合伙人
欢迎探讨技术,欢迎有志之士加入
展开
-
总结 XSS 与 CSRF 两种跨站攻击
XSS:跨站脚本(Cross-site scripting)CSRF:跨站请求伪造(Cross-site request forgery)在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离原创 2015-03-27 19:21:09 · 585 阅读 · 0 评论 -
DoS/DDoS是什么
DoS = Denial of ServiceDDoS = Distributed Denial of Service一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提原创 2015-03-27 22:20:37 · 679 阅读 · 0 评论 -
Web攻防之XSS,CSRF,SQL注入
Web攻防之XSS,CSRF,SQL注入摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。关键字:SQL注入,XSS,CSRF1.SQL注入 所谓原创 2015-03-26 20:15:50 · 1331 阅读 · 0 评论 -
java 防止 XSS 攻击的常用方法总结.
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防原创 2015-03-27 19:00:37 · 620 阅读 · 0 评论 -
一种新的攻击方法——Java Web表达式注入
链接的内容是一个名为Jenkins的服务,可以在没有password的情况下受到攻击。而攻击方法比较有趣,Jenkins提供了一个Script Console功能,可以执行Groovy 脚本语言。下面我们来看下维基百科对于这个脚本语言的解释: Groovy是Java平台上设计的面向对象编程语言。这门动态语言拥有类似Python、Ruby和Smalltalk中的一些特性,可以作为Ja原创 2015-03-30 17:54:07 · 708 阅读 · 0 评论 -
OGNL表达式struts2标签“%,#,$”
OGNL表达式struts2标签“%,#,$”一、什么是OGNL,有什么特点? OGNL(Object-Graph Navigation Language),大概可以理解为:对象图形化导航语言。是一种可以方便地操作对象属性的开源表达式语言。OGNL有如下特点: 1、支持对象方法调用,形式如:objName.methodName();原创 2015-03-30 19:27:40 · 495 阅读 · 0 评论