摘要: 1,<script>alert('xss')</script> 2.javascript:alert('123') 3.JavaScript:alert('123') 不区分大小写,所以最后转化后在查看是否存在,然后在转译 阅读全文
posted @ 2020-05-18 14:22 whssup 阅读(249) 评论(0) 推荐(0) 编辑
摘要: 由于前后端分离,前端需要根据返回的参数,来进行判断是否进入对应的页面,于是appscan扫描的时候,通过修改返回的状态码,来进入未登录的用户的界面,但是执行接口请求的时候,是无法通过的,但是甲方一定要要去这种方法是不可行的,说存在安全漏洞,但是前后端分离只能通过传的参数,又前端去跳页面,后端无法直接 阅读全文
posted @ 2020-05-18 12:11 whssup 阅读(439) 评论(0) 推荐(0) 编辑
摘要: 做了一个外包项目,这个外包项目对安全的要求贼高,交付之前,一共经历了大概三家的安全测试机构,最后一个机构是市政府中心检测机构的,他们使用的安全检测软件是appscan 这个坑是针对前后端分离的项目: 由于csrf这种漏洞主要是针对修改数据的接口才有效果,所以此次正对csrf的限制,没有针对post接 阅读全文
posted @ 2020-05-18 11:57 whssup 阅读(736) 评论(0) 推荐(0) 编辑