“2017年2月”存档文章有99 篇
谷歌浏览器关于ajax跨域浏览器设置
2017/2/16 8:31:32
当我们在谷歌浏览器的控制台上报如下错误时,不妨试试以下方法;报错:Image from origin 'file://' has been blocked from loading by Cross-Origin Resource Sharing policy: Invalid response. Origin 'null' is therefore not allowed access.原因是:...
存储型XSS从易到难的挖掘过程
2017/2/15 14:51:41
一日在某站点发现一个找茬活动,感觉是另类的src就参与了一下。就发生了这次有趣的XSS测试过程。0×00 开始(注意1)XSS不仅存在于页面上直观所在的位置,所有用户输入的信息都有可能通过不同形式返回到页面上,因此直接操作数据包来查找XSS显得更加有效。回到该站点,在该站点一处生成app处存在一处忘记过滤。发送的数据包如下:appName=TEST&icon=&loadimage=%2Ftempl...
搜狐视频爆XSS漏洞变身DDoS怪兽
2017/2/15 14:49:03
2014年4月29日消息 近日,DDoS安保公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型注入点(这个漏洞现已被修复)。攻击者利用这个漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论都附带了恶意代码。当用户访问含有恶意代码的页面时这些代码会执行并...
解析检查——存储型XSS漏洞解决方案
2017/2/15 14:47:02
Web2.0时代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,稍有不慎就会出现存储XSS漏洞。整篇文章着眼点在“方案”,后续有机会我们还可以说说API的运营故事(这个元老级项目故事很多)。通过对API的精细化运营是可以发现0day漏洞的——API自身的,甚至包括浏览器。比如CVE-2009-1862、CVE-2011-2458 ...
万兆环境下的Web安全思考
2017/2/15 14:44:48
万兆网络并不仅仅意味着网络带宽的增加,与之相匹配的业务系统亦随之而变得更加复杂。万兆安全解决方案并不是简单的选择相应安全设备的万兆型号,还会包括更为复杂的部分。拿最为常见的Web业务安全举例,我们可以清楚的看到,随着业务系统的复杂化,安全防护措施也在不断完善。单一技术对抗简单的攻击手段的时期这个时期,由于Web威胁行为的危害程度不是非常高,调整网络结构或者是部署WAF产品,都可以在很大程度上解决W...
WEB安全之XSS注入预防策略——CSP
2017/2/15 14:43:05
WEB的盛行让这个网络社会更非富,随之而来的就是安全问题。如果何安全的接受用户输入并正确的显示出来是绝大多部WEB程序的致追求。其中之一就是防止XSS,一般性而言XSS的主要危害主要是:一是页面可能被恶意或其他原因所定制,二是有可能造成站内数据外泄。XSS页面定制现代WEB内容很多由厂商和用户共同产生,下面的例子说明一个由厂商和用户共同产生的数据:<div class="profile"><dl>...
网络爬虫与Web安全
2017/2/15 14:40:21
网络爬虫概述网络爬虫(Web Crawler),又称网络蜘蛛(Web Spider)或网络机器人(Web Robot),是一种按照一定的规则自动抓取万维网资源的程序或者脚本,已被广泛应用于互联网领域。搜索引擎使用网络爬虫抓取Web网页、文档甚至图片、音频、视频等资源,通过相应的索引技术组织这些信息,提供给搜索用户进行查询。随着网络的迅速发展,万维网成为大量信息的载体,如何有效地提取并利用这些信息成...
ASP.NET下XSS跨站脚本攻击的过滤方法
2017/2/15 14:37:45
做WEB开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。在.net下也有一些Xss过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将:<span style="color:red">文字</span>...