摘要:
Clickjacking(点击劫持)是一种视觉欺骗手段,通过在web端的iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 解决方法:配置过滤器 首先,将ClickjackFilter.jar添加到lib目录下。 然后,打开webapps\ROOT\WE 阅读全文
摘要:
一、漏洞描述 利用HTTP POST请求时,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节并保持这个连接不断开。当客户端连接数达到一定程度,占用服务器的所有可用连接,从而导致DOS。 二、漏洞利用 渗透工具:slowhttptest 下载地址:htt 阅读全文
摘要:
IIS6.0解析漏洞分两种 1、目录解析 以*.asp命名的文件夹里的文件都将会被当成ASP文件执行。 2、文件解析 *.asp;.jpg 像这种畸形文件名在“;”后面的直接被忽略,也就是说当成 *.asp文件执行。 IIS6.0 默认的可执行文件除了asp还包含这三种 *.asa *.cer *. 阅读全文
摘要:
一、前言 本平台是个人轻量级XSS测试平台,仅作为练习参考。 二、实验环境 服务器操作系统:Centos 7 Web容器:Apache 三、平台搭建过程 安装Apache 安装PHP 安装Git工具 从GitHub克隆XSS平台源码 # 删除默认网站内容 rm -rf /var/www/* # 创建 阅读全文