他的首页
他的馆藏
他的动态
馆友反馈
关于他
| 共 10 篇文章 |
|
对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。 阅251 转4 评0 公众公开 14-05-26 10:40 |
我们常说的网络安全其实应该包括以下三方面的安全:
1、机密性,比如用户的隐私被窃取,账号被盗,常见的方式是木马。
2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。
3、可用性,比如我们的网络服务是否可用,常用的攻击方式是d... 阅319 转4 评0 公众公开 14-05-26 10:31 |
阅1352 转10 评0 公众公开 11-10-28 16:56 |
运行着个简单的demo后,打开login.jsp,使用firebug或chrome会发现,即使没有登录,我们也会有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId输入用户名密码后,在查看JSESSIONID可以发现,登录前和登录后的JSESSIONID并没有改变,那么这就是一个固定SessionID的漏洞(详见《黑客攻防技术宝典-web实战》第七章... 阅1111 转13 评0 公众公开 11-10-28 16:37 |
session fixation攻击什么是session fixation攻击。过程如下:Mallory发现http://unsafe/接收任何会话ID,而且会话ID通过URL地址的查询参数携带到服务器,服务器不做检查Mallory给Alice发送一个电子邮件,他可能假装是银行在宣传自己的新业务,例如,“我行推出了一项新服务,率先体验请点击:http://unsafe/?SID=I_WILL_KNOW_THE_SID",I... 阅6998 转15 评0 公众公开 11-10-28 16:33 |
import java.io.import javax.servlet.private String inj_str ="''|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";this.inj_str = filterConfig.getInitParameter("keywords");public boolean sql_inj(String str)String[] inj_stra=inj_str.split("\... 阅306 转7 评0 公众公开 11-09-06 21:45 |
用户名和口令。如果用户的cookie被盗后,盗用者使用这个cookie访问网站时,我们的系统是以为是合法用户,然后更新“登录token”,而真正的用户访问时系统发现,只有“用户名”和“登录序列”相同,但是“登录token” 不对,这样的话,系统就知道,这个用户出现了被盗用的情况,于是,系统可以清除登录序列 和 登录token,这样就可以令所有的coo... 阅211 转4 评0 公众公开 11-08-25 13:38 |
使用RSA进行信息加密解密的WebService示例使用RSA进行信息加密解密的WebService示例按:以下文字涉及RSA对WebService传递的数据的加密解密,如果您已经熟知RSA或是有其它更好的方法请不要往下看以免浪费时间.服务器端和客户端各自保存自己的RSA私钥用于解密,提供给对方RSA公钥进行加密,这样中间传递的信息就安全了。 阅1814 转35 评0 公众公开 11-08-25 13:31 |
用Wireshark从http数据包中得到用户的登录信息以下文字只是记录我做的一个小实验,没有代码和程序,没有兴趣者请退散。第二步,我们打开Wireshark,让它开始监听网络数据包,当我们点击登录按钮并登录成功后再停止监听。第三步,我们可以从Wireshark的监听结果中去找想要的数据,为了减小范围,我们可以在filter中输入ip.src==192.168.104.173 ... 阅2546 转10 评0 公众公开 11-08-25 13:30 |
