03 2013 档案

参加一战到底有感
摘要:上周五参加了公司的“一战到底”比赛,比赛是以安全实战的形式,让参赛者在模拟搭建和线上的网站上寻找按照漏洞的方式进行。 比赛分为四轮,每一轮随即分组搭档找漏洞,其实漏洞方向主要是xss和csrf漏洞,看来这两种漏洞应该是当今比较主流的漏洞。 1、对于xss漏洞,主要是两种:反射式xss和存储式xss。反射式xss一般是页面js代码执行location.href的值或者服务器直接取到href中的参数,没过滤就显示在页面上。对于过滤的情况,很可能是初级的过滤,转码等方式可以轻松绕过。xss漏洞最大的危害就是能泄漏用户隐私,比如很多黑客能执行获取用户cookie发送到指定页面上搜集。 2、对... 阅读全文

posted @ 2013-03-31 13:20 洞庭啸月 阅读(182) 评论(0) 推荐(0) 编辑

使用document.domain实现ajax跨子域
摘要:使用document.domain实现ajax跨子域跨子域:比如static.xxx.oooo.com的页面使用ajax方式调用xxx.oooo.com的接口的时候,会出现跨域的错误。最开始以为在static.xxx.oooo.com的页面设置domian为xxx.oooo.com的时候就会解决问题,但是发现问题依然存在。上网一查,还蛮多资料,特别是随网之舞的blog里介绍用document.domain解决跨子域的方法。http://dancewithnet.com/2007/07/22/solve-cross-sub-domain-ajax-with-document-domain/就是使 阅读全文

posted @ 2013-03-09 20:24 洞庭啸月 阅读(1358) 评论(0) 推荐(0) 编辑

导航

< 2025年2月 >
26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 1
2 3 4 5 6 7 8

统计

点击右上角即可分享
微信分享提示