摘要:
网络上曾经有过关于跨站脚本攻击与防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括现在的动网都存在着跨站脚本过滤不严的问题,希望本文能给写程序的与研究程序的带来一点思路。 还是首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制进入了数据库最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行HTml代码,数据流程如下: 恶意用户的Html输入————>web程序————>进入数据库————> 阅读全文
摘要:
如题,这个漏洞原理的确很浅,所以只能浅释了。构造这种漏洞并不需要什么技术含量,本来不想提出来的。不过CSDN上面的下载资源分已经用完了,又懒得再申请一个帐号来下载资源,碰巧发现了一个CSDN的跳转漏洞,就写出来赚点资源分吧。跳转漏洞的形成很多网站的很多功能只对注册用户或部分vip用户开发,当没有登录的用户试图使用这个功能时,网站程序会自动跳转到登录的页面,待登录验证成功后再跳转会前一步的操作。这里面如果没有对参数做签名的话就容易产生跳转漏洞了。以CSDN为例,如果要下载资源的话,随便下载一个文档什么的,如果没有登录就会看到一下提示:图1 CSDN提示登录点击登录,就会跳转到如下一个url:ht 阅读全文
摘要:
问:为什么Session在有些机器上偶尔会丢失?答:可能和机器的环境有关系,比如:防火墙或者杀毒软件等,尝试关闭防火墙。问:为什么当调用Session.Abandon时并没有激发Session_End方法?答:首先Session_End方法只支持InProc(进程内的)类型的Session。其次要激发Session_End方法,必须存在Session(即系统中已经使用Session了),并且至少要完成一次请求(在这次请求中会调用该方法)。问:为什么当我在InProc模式下使用Session会经常丢失?答:该问题通常是由于应用程序被回收导致的,因为当使用进程内Session时,Session是保 阅读全文
摘要:
打开某个应用程序的配置文件Web.config后,我们会发现以下这段:<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="datasource=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20"/> 这一段就是配置应用程序是如何存储Session信息的了。我们以下的各种 阅读全文
摘要:
使用SQL语句连接查询位于两个不同的服务器不同的数据库中的两张表,往往会被程序提示报错。编者根据自己的经验给出了一些解决方法。 使用SQL语句连接查询位于两个不同的服务器不同的数据库中的两张表,最初将SQL语句写成以下形式select*fromProductpinnerjoin&nb使用SQL语句连接查询位于两个不同的服务器不同的数据库中的两张表,往往会被程序提示报错。编者根据自己的经验给出了一些解决方法。使用SQL语句连接查询位于两个不同的服务器不同的数据库中的两张表,最初将SQL语句写成以下形式select*fromProductpinnerjoinopendatasource(& 阅读全文
摘要:
Application 1. Application 用来保存所有用户共用的信息2. 在 Asp 时代,如果要保存的数据在应用程序生存期内不会或者很少发生改变,那么使用 Application 是理想的选择。但是在 Asp.net 开发环境中我们把类似的配置数据放在 Web.config 中。3. 如果要使用 Application 要注意的是所有的写操作都要在 Application_OnStart 事件中完成( global.Asax ),尽管可以使用 Application.Lock() 避免了冲突,但是它串行化了对 Application 的请求,会产生严重的性能瓶颈。4. ... 阅读全文