摘要:
CSP简介: CSP全称是: Content-Security-Policy, 内容安全策略。 是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。 主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要 阅读全文
posted @ 2021-02-14 15:31
尘—尘
阅读(211)
评论(0)
推荐(0)
摘要:
XSS概念: 由于web应用程序对用户的输入过滤不严,通过html注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 XSS类型: 反射型XSS: 只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要去诱使用户点击一个恶意链接,才能攻击成功。 存储型XSS: 将用 阅读全文
posted @ 2021-02-14 15:30
尘—尘
阅读(266)
评论(0)
推荐(0)
摘要:
一、SQL注入概念: SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取 阅读全文
posted @ 2021-02-14 15:29
尘—尘
阅读(826)
评论(0)
推荐(0)
摘要:
简单版 1.查看源码: 在前台生成了一个token,用的是md5加密。 先在输入框输入success,再在控制台输入generate_token(); 中等版: 1.查看源代码: 发现引入了一个js来创建token js代码中:**do_something(e)**的含义是将一个字符串翻转,就是倒过 阅读全文
posted @ 2021-02-14 15:28
尘—尘
阅读(177)
评论(0)
推荐(0)
摘要:
SQL Injection(Blind): SQL Injection(Blind),即SQL盲注。 与一般注入的区别在于: 一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前 阅读全文
posted @ 2021-02-14 15:27
尘—尘
阅读(686)
评论(0)
推荐(0)
浙公网安备 33010602011771号