结合自己的实际经历说说WEB安全之XSS是如何发生的又如何预防

2016-4-10 / 4 评论 / 6525 浏览 / Mrxn

定义(来自百度百科): 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻...

红树林渗透测试小工具v1.1.1

2015-11-7 / 8 评论 / 10424 浏览 / Mrxn

免责申明: 请使用者注意使用环境并遵守国家相关法律法规! 由于使用不当造成的后果本作者不承担任何责任! ---------------------------------------------------------------------------- 阅读全文>>

emlog模板防止跨站漏洞教程(所有模板作者请务必阅读)

2015-8-2 / 0 评论 / 5141 浏览 / Mrxn

进过我的调查,发现大家贡献很多的模板中都没有对URL中的参数进行必要的过滤,从而给黑客留下跨站攻击的空子。 在这里我举一个典型的例子供大家参考,下面是某个CMS模板输出搜索关键词的代码, ?php }elseif($params[1]=='keyword'){?> 关键词 <b><?phpechourldecode($...

对一个钓鱼网站的简单分析,轻松识别钓鱼网站

2015-7-25 / 2 评论 / 7930 浏览 / Mrxn

首先是其地址:http://xljjrvf.tk/ (对这些不懂得不要进去,小心你的cookies被盗)非官方QQ空间的地址:user.qzone.qq.com/xxxxxx 再看界面: 很像么/.?估计对于一般人来说还行,但是对于我们这些会码代码的来说,这完全不像呀...那个输入框明显的区别....主要是右上角的...

十大渗透测试系统之---DVWA1.0.8练习笔记(二)

2015-6-25 / 4 评论 / 8503 浏览 / Mrxn

1.Command Execution (命令执行) --- Ping测试 我们打开dvwa后选择-Command Execution可以看到: 那我们在文本框随便输入一个IP看看,我输入 192.168.1.1 得到如下结果: 可以ping 说明是可以执行命令的 ,那我们试试加上一些命令呢? 例如加上列目录的命令 &dir (L...

Web安全扫描器Netsparker v4.0.1.0 Edition破解版

2015-5-16 / 7 评论 / 22297 浏览 / Mrxn

Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大。Netsparker与其他综合性的 web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。 下载地址:链接: http://pan.baidu...

WebCruiser Web Vulnerability Scanner 3.5.3 注册码+软件+PDF说明+使用指南

2015-5-14 / 4 评论 / 27134 浏览 / Mrxn

Web安全扫描工具WebCruiser - Web Vulnerability Scanner 运行平台:Windows with .Net FrameWork 2.0或以上 界面语言:英文版 功能简介 * 网站爬虫(目录及文件); * 漏洞扫描(SQL注入,跨站脚本,XPath注入); ...