PHP安全
weiyong1999
改变思想、提升能力、不断的自我丰富,此乃人生之一大乐趣。
展开
-
XSS攻击
背景知识1.1 什么是XSS攻击 XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利转载 2012-09-04 23:28:00 · 2556 阅读 · 0 评论 -
跨站脚本攻击实例解析
作者:泉哥 主页:http://riusksk.blogbus.com 前言跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻转载 2012-09-04 22:52:14 · 7664 阅读 · 0 评论 -
php clean html 可以设置过滤及保留属性
类:Php代码 function reg_escape( $str ) { $conversions = array( "^" => "\^", "[" => "\[", "." => "\.", "$" => "\$", "{" => "\{", "*" => "\*", "(" => "\(", "\\" => "\\\\", "/转载 2012-08-21 09:22:09 · 1148 阅读 · 0 评论 -
xss攻击汇总
(1)普通的XSS JavaScript注入(2)IMG标签XSS使用JavaScript命令(3)IMG标签无分号无引号(4)IMG标签大小写不敏感(5)HTML编码(必须有分号)(6)修正缺陷IMG标签alert("XSS")">(7)formCharCode标签(计算器)(8)UTF-8的Unicode编码(计算器)(9)7位的转载 2012-09-04 23:23:24 · 2980 阅读 · 0 评论 -
WEB漏洞挖掘技术
创建时间:2007-01-27文章属性:原创文章提交:7all (sgh81_at_163.com)WEB漏洞挖掘技术|=---------------=[ WEB漏洞挖掘技术 ]=-----------------------------=||=--------------------------------------------------------------转载 2012-09-04 23:44:39 · 2215 阅读 · 0 评论 -
创建高安全性PHP网站的几个实用要点
摘要:在Web应用中,都是简单地接受用户输入表单然后反馈结果。在接受用户输入时,如果允许HTML格式输入将是非常危险的事情,因为这也就允许了JavaScript以不可预料的方式侵入后直接执行。哪怕只要有一个这样漏洞,cookie数据都可能被盗取进而导致用户的账户被盗取。大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样,PHP也有几个很危险的安全漏洞。所以在这转载 2012-08-27 20:45:05 · 2033 阅读 · 0 评论 -
Php5 GPC绕过缺陷
创建时间:2006-08-07文章属性:原创文章提交:T_Torchidy (jnchaha_at_163.com)在讨论具体的缺陷之前我们先来了解一点php安全方面的小东西。magic_quotes_gpc选项是php中的一个重要的安全设置,当该选项为ON也就是打开的时候,所有从GET,POST,COOKie传递过来的数据中的',", \,以及NULL等元字符都会被自动的加上\实转载 2012-09-04 23:52:41 · 1327 阅读 · 0 评论 -
Xss漏洞检测
1. 实验目的:通过检测网站是否存在Xss漏洞,了解Xss漏洞的原理及检测步骤,维护网站的安全。2. 实验环境:任意网络浏览器3. 实验原理:(1) XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属转载 2012-09-04 23:42:23 · 2886 阅读 · 2 评论 -
xss漏洞发现及利用
漏洞描述:在使用标签(tag)进行浏览时,由于没有很好的过滤用户输入(tag关键字)造成xss跨站漏洞,用户自定义的版块tag搜索和全局tag搜索列表。利用形式1:http://clin003.com/web2/?u=Club_talk_list&tag=alert(111)其中http://clin003.com/web2/为网站连接,Club_talk_list为用户自定义版块。转载 2012-09-04 23:36:32 · 7221 阅读 · 0 评论