摘要:
xss又叫css,为了与前端的css区别,所以叫xss,即跨站脚本攻击。 XSS原理解析 XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。 javascript可以获取用户的cookie、改变网页内容、URL跳 阅读全文
摘要:
解析漏洞 (1)IIS解析漏洞 ①当建立一个*.asa、*.asp格式的文件夹时,这个文件夹里的任意文件都会被当做asp文件来执行。 如果我们上传一个txt文件,文件内容是asp一句话木马,一句话木马将会被解析,造成危害。 ②当文件为*.asp;1.jpg时,IIS6.0同样会以ASP脚本来执行。 阅读全文
摘要:
绕过上传漏洞 程序员在防止上传漏洞时可以分为以下两种: 客户端检测:客户端使用Javascript检测,在文件未上传时,就对文件进行验证。 服务端检测:服务端脚本一般会检测文件的MIME类型,检测文件扩展名是否合法,检测文件内容是否合法。 一、客户端检测绕过 (1)Firebug firebug是火 阅读全文