摘要:
转:http://blog.csdn.net/zhaozheng7758/article/details/6105749一、Filter的介绍及使用什么是过滤器?与Servlet相似,过滤器是一些web应用程序组件,可以绑定到一个web应用程序中。但是与其他web应用程序组件不同的是,过滤器是"链"在容器的处理过程中的。这就意味着它们会在servlet处理器之前访问一个进入的请求,并且在外发响应信息返回到客户前访问这些响应信息。这种访问使得过滤器可以检查并修改请求和响应的内容。过滤器适用于那些地方?l为一个web应用程序的新功能建立模型(可被添加到web应用程序中或者从we 阅读全文
摘要:
XSS攻击有两种方法:一,把一段脚本注入到服务器上,用户访问方法服务器的某个URL,这个URL就会把远端的js注入进来,这个js自动进行很多操作。二,来自外部的攻击,主要指的是构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个跨站网页放在自己的服务器上,然后通过结合其它技术,欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低,至少ajax 要发起跨站调用是非常困难的(可能需要hack浏览器)。新浪XSS事件: Chrome 和 Safari 都没中招。IE、Firefox未能幸免。(创建http对象代码不支持)http://weibo.c 阅读全文
摘要:
目前常用的针对应用漏洞的攻击已经多达几百种,最为常见的攻击为下表列出的十种。十大攻击手段应用威胁负面影响后果跨网站脚本攻击标识盗窃,敏感数据丢失…黑客可以模拟合法用户,控制其帐户。注入攻击通过构造查询对数据库、LDAP 和其他系统进行非法查询。黑客可以访问后端数据库信息,修改、盗窃。恶意文件执行在服务器上执行 Shell 命令 Execute,获取控制权。被修改的站点将所有交易传送给黑客不安全对象引用黑客访问敏感文件和资源Web 应用返回敏感文件内容伪造跨站点请求黑客调用 Blind 动作,模拟合法用户黑客发起 Blind 请求,要求进行转帐信息泻露和不正确的错误处理黑客得到详细系统信息恶意的 阅读全文
摘要:
当攻击者在Web站点或应用程序后端 “描绘” 某个目标时,通常出于以下两个目的之一:阻碍合法用户对站点的访问,或者降低站点的可靠性。而根据国内某IT网站对网友和Web安全专家调查,以下是当前 较“流行”和威胁排名靠前的攻击方式:SQL注入式攻击、跨站脚本攻击、权限弱口令以及DDos攻击。☆ 缓冲区溢出攻击和SQL注入除 了溢出的利用以外,SQL 注入是另一类依赖于开发人员没测试输入数据的疏漏的攻击。大多数人拥有字母数字式密码,或者有安全意识的人,拥有附带其他键盘符号的字母数字式密码。由于 这种想法,开发人员可能允许输入任何字符作为密码。这通常是没问题的,除非他们忘记清洁或检查输入数据。☆ 分布 阅读全文