JavaScript防http劫持与XSS

前言 一看到HTTP劫持的,早读君就有兴趣看。本文由@ChokCoco带来的分享,并且会有点长,需点耐心看。 正文从这开始~ 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site reques...

2016-09-10 18:02:08

阅读数:5205

评论数:0

CSRF 攻击的应对之道

CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防...

2016-01-01 20:04:32

阅读数:877

评论数:0

总结 XSS 与 CSRF 两种跨站攻击

转自:https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/ XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 在那个年代,大家...

2016-01-01 19:47:38

阅读数:1289

评论数:0

Struts 2最新0day破坏性漏洞(远程任意代码执行)等的重现方法

Struts 2的远程任意代码执行和重定向漏洞,是这两天互联网上最重大的安全事件,据说国内互联网企业中,很多电商纷纷中招,应该已经有大规模的用户隐私泄露。这里我们简单总结下怎样在自己机子上重现这些漏洞,这篇日志也是面向对网络安全比较感兴趣的初学者,即使你没有什么经验,也能知道这漏洞到底怎么回事: ...

2014-12-08 10:07:12

阅读数:2407

评论数:0

struts2漏洞升级指南

因Struts2框架缺陷造成的远程执行漏洞, Struts2中WebWork框架使用XWork来支持Struts 2及其他应用。XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 升级方法 1.maven管理jar包的可以直接在pom中把Conven...

2014-12-04 15:17:25

阅读数:837

评论数:0

Struts2漏洞分析

当在浏览器输入如下地址时:        http://www.xxxx.com/aaa.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork....

2014-09-03 20:45:58

阅读数:1889

评论数:0

Java写文件时文件名\00或者\0截断BUG导致的文件上传漏洞及修复

Java在上面两种环境写文件时,会因为00截断而无法正确为新生成的文件命名。比如用户需要的用户名abc.jsp .jpg,但经过00截断后,生成的文件的名称变为abc.jsp , 因此我们在涉及到上传的文件名没更改名称或者可自定义目录的时候加以利用 测试环境: 1.windows7(x...

2014-07-09 11:30:13

阅读数:3477

评论数:0

servlet中使用HttpServletResponseWrapper截获返回的页面内容

像标题所说的,虽然在在JEE开发中并不常见,但也不是没有需要。比如知名的页面装饰框架sitemesh,就是利用filter过滤器先截获返回给客户端的页面,然后分析html代码并最终装饰页面效果后返回给客户端。我这里也先简单的说下如何来自己编程实现,然后说一个我遇到的问题,应该也是大家会遇到但很难找...

2014-07-07 13:36:51

阅读数:2615

评论数:0

Struts2 Filter 和 HttpServletRequestWrapper出现的问题

Struts2 是通过request.getParameterMap()来获取属性的,要重写这个方法  Struts2 的Action中定义了一个属性: public Class LoginAction {     private String redirecti...

2014-07-02 10:10:17

阅读数:1182

评论数:0

来自内部的XSS攻击的防范

引入: 前面我们分2篇文章分别探讨了来自外部的XSS攻击和来自内部的XSS攻击,现在我们来专门探讨如何防范来自内部的XSS攻击。   实践: 其实从 http://www.2cto.com/Article/201312/264736.html 文章中可以看出,主要的攻击手段无外乎是发送了一段恶意脚...

2014-06-25 16:34:00

阅读数:1123

评论数:0

如何解决跨站脚本攻击

摘要: Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。 攻击 一个get请求 GET /wel...

2014-06-25 14:18:20

阅读数:18560

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭