攻击JavaWeb应用[2]-CS交互安全

园长 / 2013-07-08

注:本节意在让大家了解客户端和服务器端的一个交互的过程,我个人不喜欢xss,对xss知之甚少所以只能简要的讲解下。这一节主要包含HttpServletRequest、HttpServletResponse、session、cookie、HttpOnly和xss,文章是年前几天写的本应该是有续集的但年后就没什么时间去接着续写了。由于工作并非安全行业,所以写的并不算专业希望大家能够理解。后面的章节可能会有Java里的SQL注入、Servlet容器相关、Java的框架问题、eclipse代码审计等。

攻击JavaWeb应用[1]-JavaEE 基础

园长 / 2013-07-04

JSP: 全名为java server page,其根本是一个简化的Servlet

Servlet:Servlet是一种服务器端的Java应用程序,可以生成动态的Web页面。

JavaEE: JavaEE是J2EE新的名称。改名目的是让大家清楚J2EE只是Java企业应用。

什么叫Jsp什么叫Java我真的非常让大家搞清楚!拜托别一上来就来一句:“前几天我搞了一个jsp的服务器,可难吭了。”。

V

CSRF简单介绍及利用方法

VIP / 2013-07-02

CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。

由参数URL想到的

瞌睡龙 / 2013-06-28

当你看到一个参数的值是url的时候你会想到什么?
结合wooyun里的案例看,可能产生的危害分为三方面:

Flash安全的一些总结

只抽红梅 / 2013-06-27

flash如何跨域通信,全靠crossdomain.xml这个文件。这个文件配置在服务端,一般为根目录下,限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。

比如下面的列子: 1、www.a.com域下不存在crossdomain.xml文件,则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。

Browser Security-css、javascript

瞌睡龙 / 2013-06-19

调用方式有三种:

1 <style>
2 通过<link rel=stylesheet>或者使用style参数
3 XML包括XHTML可以通过<?xml-stylesheet href=...?>

Browser Security-基本概念

瞌睡龙 / 2013-06-19

URL格式:

scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]]

L

python脚本处理伪静态注入

livers / 2013-05-27

通常情况下,动态脚本的网站的url类似下面这样 http://www.xxoo.net/aa.php?id=123 做了伪静态之后类似这样 http://www.xxoo.net/aa.php/id/123.html 总归大趋势下,攻击的门槛逐渐增高。这样有利有弊,喜欢研究的会深入钻研,另一方面只会用工具不懂原理的则充斥到大小论坛水区。

S

web服务器分层架构的资源文件映射安全以及在J2EE应用中的利用与危害

shine / 2013-05-24

通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等!
例如:Nginx+ Tomcat的分层结构(在下文中,我们也使用此例说明相关问题)
Nginx是一个高性能的 HTTP 和 反向代理 服务器 。

Clickjacking简单介绍

瞌睡龙 / 2013-05-20

Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。
是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。

P

一次SWF XSS挖掘和利用

p.z / 2012-12-28

这篇迟到了近一年的paper是对WooYun: Gmail某处XSS可导致账号持久劫持漏洞的详细说明,赶在世界末日发布,希望不会太晚.:)

投稿

随机分类

iOS安全 文章:36 篇
Web安全 文章:248 篇
业务安全 文章:29 篇
硬件与物联网 文章:40 篇
后门 文章:39 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

RSS订阅