2017年1月18日
摘要:
一、SQL注入: 1、注入攻击的本质:把用户输入的数据当代码执行。 攻击的关键点:1、用户能够控制输入; 2、原本程序要执行的代码, 2、盲注(Blind Injection):在服务器没有错误回显时完成的注入攻击。 3、时序攻击(Timing Attack):利用BENCHMARK()函数(mys 阅读全文
摘要:
点击劫持:它通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的页面,但其实他所点击的是被黑客精心设计的另一个置于原网页之上的透明页面。 这种攻击利用了HTML中的<iframe>的标签的透明属性。 图片覆盖攻击(Cross Site Image Overlaying)XSIO:通过调 阅读全文
摘要:
1、新标签的XSS H5中定义类很多新标签、新事件可能带来XSS(为研究XSS攻击H5的变化成立项目 HTML 5 Security Cheatsheet) eg: 1) <video src=" " onloadedmetadate="alter(XSS)"> 远程加载视频 2) <audio> 阅读全文
摘要:
1、CSRF : Cross Site Request Forgery. 该攻击通过在授权用户访问的页面中包含链接或脚本的方式工作。是一种依赖Web浏览器的、被混淆过的代理人攻击。 2、常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 另外可以通 阅读全文