摘要:
先总结一下常见的攻击手法:1. 依赖跨站漏洞,需要在被攻击网站的页面种入脚本的手法1.1. Cookie 盗取,通过javascript 获取被攻击网站种下的cookie,并发送给攻击者。1.1.1. 从cookie 中提取密码等隐私1.1.2. 利用cookie 伪造session,发起重放攻击1.2. Ajex 信息盗取,通过javascript 发起ajex 请求。1.2.1. 从ajex 结果中获取隐私。1.2.2. 模拟用户完成多页表单。2. 不依赖跨站漏洞的手法2.1. 单向HTTP 动作,通过img.src 等方法发起跨站访问,冒充被攻击者执行特权操作。但是很难拿到服务器的返回值 阅读全文
摘要:
基础知识1) 什么是”Last-Modified”?在浏览器第一次请求某一个URL时,服务器端的返回状态会是200,内容是你请求的资源,同时有一个Last-Modified的属性标记此文件在服务期端最后被修改的时间,格式类似这样:Tue, 24 Apr 2012 13:53:56 GMT客户端第二次请求此URL时,根据 HTTP 协议的规定,浏览器会向服务器传送 If-Modified-Since 报头,询问该时间之后文件是否有被修改过:If-Modified-Since: Tue, 24 Apr 2012 13:53:56 GMT如果服务器端的资源没有变化,则自动返回 HTTP 304 (N 阅读全文