- 博客(6)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 存储型XSS漏洞的挖掘
存储型XSS漏洞的挖掘在第2节中我们曾经演示过如何发掘一些简单的XSS漏洞,以及确定XSS漏洞的基本方法是使用攻击字符串。例如把“”之类的字符串提交给应用程序的每个参数,同时监控这个输入的响应,如果攻击字符串原样出现在响应中,那么几乎可以肯定应用程序存在XSS漏洞,现在的许多自动化测试工具就是基于这项规则实现的。但是有些时候使用上述基本方法,可能无法确定应用程序中是否存在XSS漏洞。因为触发XSS的形式和因素众多,而且手段灵活多变,所以,需要建立一套完整的测试方案,甚至要运用多种特别的方法和技术。实际上,
2020-08-20 17:40:13
1138
原创 DOM-based型XSS
DOM-based型XSS这种类型的XSS并非按照“数据是否保存在服务器端”来划分,DOM Based XSS从效果上来说也是反射型XSS。单独划分出来,是因为DOM Based XSS的形成原因比较特别,发现它的安全专家专门提出了这种类型的XSS。出于历史原因,也就把它单独作为一个分类了。通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。我们客户端的js可以对页面dom节点进行动态的操作,比如插入、修改页面的内容。比如说客户端从URL中提取数据并且在本地执行、如果用户在客户端输入
2020-08-20 17:24:56
1605
原创 XSS的工作原理
XSS的工作原理2.1 XSS的概述XSS跨站脚本攻击是将Java script代码插入web页面中,之后当用户浏览页面时, 会执行嵌套在web页面里面的Java script代码,从而达到攻击用户的目的。为了跟HTML里面的层叠样式表(CSS)作区分,所以叫作XSS,是客户端脚本安全中的头号大敌。2.2 XSS攻击的危害(1) 网站钓鱼,盗取各类账号(2) 通过盗取Cookie文件,来读取Cookie文件里面的隐私信息或者以利用管理员身份进行登陆,最后进行篡改、添加、删除数据的等违法行为。(3
2020-08-20 17:15:34
583
原创 openssh8.3p1 rpm升级报错解决方案
openssh8.3p1 rpm 升级后报错误:(1)报:Permissions 0640 for’/etc/ssh/ssh_host_rsa_key’ are too open.解决方案:chmod -R 600 /etc/ssh(2)报:SecureCRT Key exchange failed解决方案:vi /etc/ssh/sshd_config在文件尾部增加下面:#RSAAuthentication yesPubkeyAuthentication yesPasswordAuthen
2020-08-20 17:06:44
2651
原创 Openssh升级到8.3p1
Open ssh升级工作思路:1.准备好最新版的openssh文件,一般是tar.gz文件,由于都是离线安装,编译安装的话要下载很多依赖包,最好方案是打包成rpm文件更方便,然后安装。2.为防止升级过程中出现问题而导致ssh无法远程,我这边下载telnet,提前进行远程上去,防止ssh出现错误而导致没法远程问题。3.考虑要各个远程工具兼容问题,还有系统不同问题,安装后可能会报各种问题,这个主要看ssh报什么问题,在逐个击破开始升级:(1)我已经都准备好了rpm包,所以直接开始进行安装telnet
2020-08-20 17:03:39
1301
原创 csrf攻击与防御
1.csrf原理介绍1.csrf定义CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。2.csrf原理利用目标用户的合法身份,以目标用户的名义执行某些非法操作。CSRF能够利用用户的进行...
2019-12-03 19:13:38
228
openssh-8.3p1-rpm.zip
2020-08-20
升级openssh.zip
2020-08-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人