安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
逆向工程 ExploitS 系统文档 移动安全 硬件安全 无线安全WEB安全 DataBase 神兵利刃 网络安全 编程茶楼 WooYun
返回首页
当前位置: 安云网 > 技术关注 > WEB安全 >
  • [WEB安全] 浅谈CSRF攻击方式 日期::2017-10-26点击:120 好评:0

    一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击: 攻击者盗用了你的身份,以你的名义发送恶意请求...

  • [WEB安全] CSRF攻击与防御 日期::2017-10-26点击:190 好评:0

    转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念: CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求...

  • [WEB安全] 会话令牌 日期::2017-10-24点击:97 好评:0

    通常我们会采取以下的措施来保护会话。 1 .采用强算法生成 Session ID 正如我们前面用 Web Scrab 分析的那样,会话 ID 必须具有随机性和不可预测性。一般来说,会话 ID 的长度至少为 128 位。下面我们就拿常见的应用服务器 Tomcat 来...

  • [WEB安全] Web应用里的HTTP参数污染(HPP)漏洞 日期::2017-10-24点击:195 好评:0

    HPP是HTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行...

  • [WEB安全] jQuery跨站脚本漏洞XSS with $(location.hash)漏洞 日期::2017-10-23点击:144 好评:0

    jquery下载地址: https://code.jquery.com/jquery/ 影响范围: 版本低于1.7的jQuery过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCATION.HASH跨站漏洞 已测试成功版本: jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js jquery-1.5所有版...

  • [WEB安全] 点击劫持漏洞:使用X-Frame-Options 防止网页被Frame 日期::2017-10-23点击:197 好评:0

    使用X-Frame-Options防止网页被Frame 防止被 FRAME 加载你的网站页面 1. meta 标签:很多时候没有效果,无视 [html] view plain copy meta http-equiv = Windows-Target contect = _top 2. js 判断顶层窗口跳转,可轻易破解,意义不大 [javascript] view plain copy fu...

  • [WEB安全] TRS漏洞整理 日期::2017-10-11点击:161 好评:0

    from http://reboot.cf/2017/01/12/2017/TRS%E6%BC%8F%E6%B4%9E%E6%95%B4%E7%90%86/...

  • [WEB安全] 不重启Tomcat,覆盖本地代码 日期::2017-10-09点击:144 好评:0

    此篇文章中的内容已经报告给Apache,他们的回复如下: This report does notdescribe a security vulnerability in Apache Tomcat. The Apache Tomcat SecurityTeam will be taking no further action regarding this report. 好了,开始正文。 搞Java的应该都知道,如果能黑到一...

  • [WEB安全] 剖析PHP纯符号一句话webshell的代码 日期::2017-08-10点击:216 好评:0

    ?php$_=;$_[+]=;$_=$_.;$_=($_[+]|).($_[+]|).($_[+]^);${_.$_}[_](${_.$_}[__]);? 以上是网上流传的一段由纯符号组成的一句话后门代码,这种代码混淆方法主要用以webshell免杀。下文将详细剖析这段看似复杂的PHP变形代码。 第一行: $_=; 定义一个以下...

  • [WEB安全] 如何保护Ubuntu 16.04上的NGINX Web服务器 日期::2017-08-04点击:99 好评:0

    什么是 Let’s Encrypt Let’s Encrypt 是互联网安全研究组织 (ISRG) 提供的免费证书认证机构。它提供了一种轻松自动的方式来获取免费的 SSL/TLS 证书 - 这是在 Web 服务器上启用加密和 HTTPS 流量的必要步骤。获取和安装证书的大多数步骤...

推荐内容