html
文章平均质量分 86
wxy_fighting
这个作者很懒,什么都没留下…
展开
-
HTTP 状态代码|错误代码
所有 HTTP 状态代码及其定义。 代码 指示 2xx 成功 200 正常;请求已完成。 201 正常;紧接 POST 命令。 202 正常;已接受用于处理,但处理尚未完成。 203 正常;部分信息 — 返回的信息只是一部分。 204 正常;无响应 — 已接收请求,但不存在要回送的信息。 3x原创 2013-06-14 09:54:36 · 859 阅读 · 0 评论 -
Java Web工具CookieSupport
[java] view plaincopy/* * CookieSupport.java * Copyright (C) 2007-3-19 * * This program is free software; you can redistribute it and/or modify * it unde原创 2013-06-14 09:54:29 · 906 阅读 · 0 评论 -
深入解析跨站请求伪造漏洞:原理剖析(1)
当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”,因为互联网上的许多站点对此毫无防备,同时还因为这类攻击一直为web开发和安全社区所忽视。一、概述当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击。跨站请转载 2013-06-18 16:39:24 · 1528 阅读 · 0 评论 -
深入解析跨站请求伪造漏洞:原理剖析(2)
三、跨站请求伪造漏洞的根本原因CSRF攻击经常利用目标站点的身份验证机制,CSRF攻击这一弱点的根源在于Web的身份验证机制虽然可以向目标站点保证一个请求来自于某个用户的浏览器,但是却无法保证该请求的确是那个用户发出的或者是经过那个用户批准的。例如,假如Alice在浏览目标站点T,那么站点T便会给Alice的浏览器一个cookie,用于存放一个伪随机数作为会话标识符sid,以跟踪她的会话。转载 2013-06-18 16:40:16 · 1079 阅读 · 0 评论 -
深入解析跨站请求伪造漏洞:实例讲解
本文的上篇中,我们着重介绍了跨站请求伪造的原理,并指出现有的安全模型并不能真正防御这种攻击。在下篇中,我们将向读者介绍在一些大型站点上发现的几个严重的CSRF漏洞,攻击者利用这些漏洞不仅能够采集用户的电子邮件地址,侵犯用户隐私并操控用户帐户。如果金融站点出现了跨站请求伪造漏洞的话,这些漏洞甚至允许攻击者从用户的银行帐户中划走资金。为了全面的防御CSRF攻击,建议对服务器端进行改造。此外,本文还会介转载 2013-06-18 16:41:35 · 2065 阅读 · 0 评论 -
Web安全测试之跨站请求伪造(CSRF)篇
跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例,最后提提了一些防范该攻击的建议,希望本文对读者的安全测试能够有所启发。一、CSRF概述我们首先来了解一下什么是跨站请求伪造(CSRF)?跨站请求伪造是一种挟制终端用户在当前转载 2013-06-18 16:43:19 · 2056 阅读 · 0 评论