搜索结果
查询Tags标签: XSS,共有 108条记录-
存储型xss
title: “存储型xss” author: “年轻人” date: “june 26th, 2021” 存储型xss xss提交恶意xss数据,存入应用服务器端,用户访问时被触发 而检验是否存在xss可以通过使用xss弹窗检验 <script>alert(1)</script>防止窃取cookie:http-only(js不能传递cooki…
2021/12/13 6:20:57 人评论 次浏览 -
springboot+vue开发框架源码
JeeThink-Vue是一个Java EE 企业级快速开发平台,(Spring Boot、Spring Security、MyBatis、Jwt、Vue),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。支持集群,支持多数据源。 主要特性: 完全响应式布局(支持电脑、…
2021/12/12 17:21:20 人评论 次浏览 -
springboot+vue开发框架源码
JeeThink-Vue是一个Java EE 企业级快速开发平台,(Spring Boot、Spring Security、MyBatis、Jwt、Vue),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。支持集群,支持多数据源。 主要特性: 完全响应式布局(支持电脑、…
2021/12/12 17:21:20 人评论 次浏览 -
Web应用漏洞-NGINX各类请求头缺失对应配置
前言随着越来越多的网络访问通过WEB界面进行操作,WEB安全已经成为互联网安全的一个热点,基于WEB的攻击广为流行,SQL注入、跨站脚本等WEB应用层漏洞的存在使得网站沦陷、页面篡改、网页挂马等攻击行为困扰着网站管理者并威胁着网站以及直接用户的安全。配置一些http_hea…
2021/12/1 7:11:00 人评论 次浏览 -
Web应用漏洞-NGINX各类请求头缺失对应配置
前言随着越来越多的网络访问通过WEB界面进行操作,WEB安全已经成为互联网安全的一个热点,基于WEB的攻击广为流行,SQL注入、跨站脚本等WEB应用层漏洞的存在使得网站沦陷、页面篡改、网页挂马等攻击行为困扰着网站管理者并威胁着网站以及直接用户的安全。配置一些http_hea…
2021/12/1 7:11:00 人评论 次浏览 -
xss之常见payload
payload-有效载荷:<script>alert(1)</script> #最普通的xss<script>alert(document.cookie)</script> #获取cookie<a href="javascript:alert(xss)">xss</a> #a链接的xss<script src=http://baidu.c…
2021/11/9 6:12:45 人评论 次浏览 -
xss之常见payload
payload-有效载荷:<script>alert(1)</script> #最普通的xss<script>alert(document.cookie)</script> #获取cookie<a href="javascript:alert(xss)">xss</a> #a链接的xss<script src=http://baidu.c…
2021/11/9 6:12:45 人评论 次浏览 -
【XSS】再谈CSP内容安全策略
再谈CSP内容安全策略之前每次都是想的很浅,或者只是个理论派,事实证明就是得动手实践参考 CSP的用法 官方文档 通过设置属性来告诉浏览器允许加载的资源数据来源。可通过Response响应头来设置,也可以直接通过meta标签来设置 <meta http-equiv="Content-Securit…
2021/11/8 23:11:46 人评论 次浏览 -
【XSS】再谈CSP内容安全策略
再谈CSP内容安全策略之前每次都是想的很浅,或者只是个理论派,事实证明就是得动手实践参考 CSP的用法 官方文档 通过设置属性来告诉浏览器允许加载的资源数据来源。可通过Response响应头来设置,也可以直接通过meta标签来设置 <meta http-equiv="Content-Securit…
2021/11/8 23:11:46 人评论 次浏览 -
PHP关于PDO防止XSS攻击
PHP关于PDO防止XSS攻击一定更要转义 不然插入html 客户端读取会出现各种问题function filter($content) {$content = htmlspecialchars($content);$pos = strpos($content, "\u");if (is_numeric($pos)) {echo json_encode(array(success => 0, msg =&g…
2021/11/2 11:10:32 人评论 次浏览 -
PHP关于PDO防止XSS攻击
PHP关于PDO防止XSS攻击一定更要转义 不然插入html 客户端读取会出现各种问题function filter($content) {$content = htmlspecialchars($content);$pos = strpos($content, "\u");if (is_numeric($pos)) {echo json_encode(array(success => 0, msg =&g…
2021/11/2 11:10:32 人评论 次浏览 -
前端安全(一)XSS攻击
1 简述 XSS,跨站脚本攻击(Cross Site Scripting),为避免和CSS缩写同名,缩写为XSSXSS通常是指攻击者利用网页开发的漏洞,植入恶意的代码指令到网页中并使用户加载并执行,恶意的脚本指令大多为JS,但也可以是Java、VBScript、HTML等。恶意的脚本执行后,攻击者可以获…
2021/10/24 23:13:06 人评论 次浏览 -
前端安全(一)XSS攻击
1 简述 XSS,跨站脚本攻击(Cross Site Scripting),为避免和CSS缩写同名,缩写为XSSXSS通常是指攻击者利用网页开发的漏洞,植入恶意的代码指令到网页中并使用户加载并执行,恶意的脚本指令大多为JS,但也可以是Java、VBScript、HTML等。恶意的脚本执行后,攻击者可以获…
2021/10/24 23:13:06 人评论 次浏览 -
[老树新花]从未授权到GetShell
未授权访问 前几天晚上有空的时候想看看别人EduSrc的挖掘思路,谷歌大法搜索了一下,找到了一篇讲通用密码重置漏洞的文章,同时由于其原博主的灵魂打码,让我通过谷歌搜索成功找到了这个系统。原来的漏洞是重置密码时校验码默认为admin,经过测试后实际上此处存在一个未授…
2021/10/11 7:14:14 人评论 次浏览 -
[老树新花]从未授权到GetShell
未授权访问 前几天晚上有空的时候想看看别人EduSrc的挖掘思路,谷歌大法搜索了一下,找到了一篇讲通用密码重置漏洞的文章,同时由于其原博主的灵魂打码,让我通过谷歌搜索成功找到了这个系统。原来的漏洞是重置密码时校验码默认为admin,经过测试后实际上此处存在一个未授…
2021/10/11 7:14:14 人评论 次浏览
