文章列表

XSS事项 如何过滤用户输入页面内的正常内容

查看评论
接下来我们继续了解如何过滤用户输入页面内的正常内容。 阅读全文

XSS事项 如何过滤用户输入的标签属性

查看评论
由于Web浏览器实行一种[同源策略],脚本(如JavaScript或VBScript)想要访问文档中的资源(包括COOKIES和DOM对象以及DOM对象的属性),则必须和文档处于一个相同的域名,包括端口。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 这种策略是必要的,用来防止页面中加载不安全的脚本,例如从www.张伟是坏蛋.com访问weibo.com的cookies。如果没有这种同源策略的话,假设微博的页面被嵌入了来自张伟是坏蛋这个网站的恶意脚本,那么张伟是坏蛋的恶意脚本就可以修改伪装微博页面的DOM结构和内容,扭曲一些事情,或者获取用户在微博的cookies,进一步去做一些不怀好意的事情。 阅读全文

XSS事项 你所想知道的跨站攻击

查看评论
本文简单的介绍如何在HTML文档中进行跨站点脚本(XSS)攻击在以及并避免跨站攻击出现的通用方法。如果你不了解什么是跨站攻击,可以查看[跨站攻击介绍]。本文提供的跨站脚本攻击的例子独立于任何特定的模版或者程序。 阅读全文

XSS事项 UTF-7: 消失的字符集

查看评论
说到XSS,不得不提字符集了。UTF-7是为了SMTP而设计的,而SMTP作为电子邮件传输标准之一,其格式为US-ASCII,不允许使用超过ASCII定义的字符范围意外的位元数值,所以说SMTP不支持8位元的数据。UTF-7的出现解决了这个问题,它使用BASE64来表示8位元的数据使用7位元表示不可见的ASCII字符。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 阅读全文

关于360网站安全检测

查看评论
个人感觉出这么一个工具挺好的,有助于提高网站站长们的素质,今天早些时候检查了一下,发现2处可以允许XSS的地方。一看,发现是转向页面的处理,果然是自己不小心,还好没有涉及数据库,否则要被注入了,呵呵。防护修改也很简单,就不提了。放几张图吧,漏洞补掉,继续安心学习。 阅读全文