摘要： 转自：http://www.cnblogs.com/demonspider/archive/2012/08/04/2622474.html Burp Suite是Web应用程序测试的最佳工具之一，其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练，主要讨论它的以下特点.1.代理... 阅读全文

摘要： 转自：http://snoopyxdy.blog.163.com/blog/static/60117440201284103022779/ 我们常说的网络安全其实应该包括以下三方面的安全： 1、机密性，比如用户的隐私被窃取，帐号被盗，常见的方式是木马。 2、完整性，比如数据的完整，举个例子，康熙传位十四子，被当时四阿哥篡改遗诏：传位于四子，当然这是传说，常见的方式是XSS跨站脚本攻击和csrf跨... 阅读全文

摘要： 大家对于这2个攻击可能比较混淆，因为从名字上就很容易混淆，csrf跨站点伪装请求和xss跨站点攻击。我一开始也对这两个东西搞混淆了，后面发现他们的最根本区别。 （1）CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统，类似于钓鱼。如用户当前已经登录了邮箱，或bbs，同时用户又在使用另外一个，已经被你控制的站点，我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你，你去点击一... 阅读全文