WEB安全 第2页

2019-07-16无依阅读(5363)评论(0)赞(0)

作者今天查看百度访问统计，查看到昨天访问异常，查看到大量pv，这个明显比正常多，正暗暗高兴感觉自己网站有很多人查看了，结果点击查看昨天的访问记录，查看到访问来源，查看到一个不熟悉的域名www.calfiz.com，点击访问检测这个来源，查看...

2019-07-10无依阅读(4437)评论(0)赞(2)

说明 这个程序主要是用户减小，查网站挂马，清理挂马查找核心文件被被篡改的工作量，能很大的提高工作效率 一、创建效验数据库 运行sqlite数据库生成.exe，生成新的效验数据库， 如果之前已经创建来看对应的效验数据库，可以跳过此步骤，或者重...

2019-06-28无依阅读(3980)赞(0)

此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践 from:https://osandamalith.wordpress.com/2015/07/15/error-based-sql-...

2019-05-28无依阅读(3900)赞(0)

1、隐藏nginx版本号，可以预防针对性的版本漏洞攻击。 语法： server_tokens on | off; #默认是on 可以添加的位置分别是http server location区 2、若要隐藏nginx的软件名，那么需要修改源码...

2019-04-12无依阅读(4501)评论(0)赞(0)

今天看到一个XSS漏洞，插入点在一个有hidden属性的input 标签，大致情况如下： 正常情况下的XSS应当是： http://victim/?value=” onclick=”alert(document.domain) 但是这里由于...

2019-04-10无依阅读(5729)评论(0)赞(0)

xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1： 源码如下： <?php $name = $_GET["name"]; $name = htmlspecialchars($name); ?> <...

2019-04-04无依阅读(4641)评论(0)赞(0)

360网站安全检测结果提示[轻微]X-Frame-Options头未设置，官方的解决方法如下： 修改web服务器配置，添加X-frame-options响应头。赋值有如下三种： （1）DENY：不能被嵌入到任何iframe或frame中。 ...

2019-03-21无依阅读(4113)评论(0)赞(0)

CSRF攻击: 跨站请求伪造 攻击原理: 攻击者引导受害者访问其指定的URL, 以受害者的身份名义(cookie)发送恶意请求, 执行某些能改变数据的操作. 攻击场景举例: 受害者登录了a.com, 浏览器保存a.com对应的cookie,...

2019-03-19无依阅读(1969)评论(0)赞(0)

通过对方域名访问网站内容和自己的一模一样,或者内容大致和自己网站一样, 如没实际危害，一般可以不用做任何调整。 这种是对方通过反向代理方式实现了对自己网站文件的抓取甚至缓存到了对方服务器上,可找到对方代理服务器ip地址进行屏蔽 例,您的域名...

2019-03-14无依阅读(8154)评论(0)赞(9)

一、AWVS介绍 Acunetix Web Vulnerability Scanner，简称：AWVS，是一个自动化的Web安全测试工具，它可以扫描Web站点和Web应用。AWVS可以快速扫描SQL注入，XSS攻击，目录遍历，文件入侵，PH...