博客园-wuvist-最新评论

Re:介绍两个Python web框架：Django & Tornado

iTech — Thu, 30 Jun 2011 02:19:16 GMT

我学py2web

iTech 2011-06-30 10:19 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

持刀女 — Thu, 30 Jun 2011 01:44:09 GMT

谢谢楼主给我讲解了许多我还不了解的东西。。非常有用。

持刀女 2011-06-30 09:44 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

随处走走 — Thu, 30 Jun 2011 00:54:12 GMT

"当攻击者企图从 http://attackerdomain.com/clickme.html 页面提交资料去 http://dummydomain.com/update_nick.aspx 时，浏览器发送的是 dummydomain的 cookie；而这个cookie的值，是attacherdomain.com所无法获得的，也就是说，它无法伪造" 这个楼主能解释一下么，如果用hidden，攻击者不是可以查看源代码看到么？

随处走走 2011-06-30 08:54 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

徐少侠 — Wed, 29 Jun 2011 12:01:03 GMT

[quote]testzhangsan： [quote]问天： @testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。[/quote] 有幽默精神，不错，一看就是情场老手！[/quote] 不过所谓黑客，只知道用计算机的绝对不是超一流黑客。而会泡MM的才是。

徐少侠 2011-06-29 20:01 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

BoyLee — Wed, 29 Jun 2011 08:55:44 GMT

[quote]问天： @testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。[/quote] 哈哈，社会工程学学的很好。

BoyLee 2011-06-29 16:55 发表评论

Re:跟赵姐夫扯 webform的设计

testzhangsan — Wed, 29 Jun 2011 08:07:05 GMT

有趣！

testzhangsan 2011-06-29 16:07 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

testzhangsan — Wed, 29 Jun 2011 08:00:14 GMT

[quote]问天： @testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。[/quote] 有幽默精神，不错，一看就是情场老手！

testzhangsan 2011-06-29 16:00 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

IT鸟 — Wed, 29 Jun 2011 07:56:30 GMT

新浪微博php开发的. function HtmlEncode($fString) { if($fString!="") { $fString = str_replace( '>', '>',$fString); $fString = str_replace( '<', '<',$fString); $fString = str_replace( chr(32), ' ',$fString); $fString = str_replace( chr(13), ' ',$fString); $fString = str_replace( chr(10) & chr(10), '
',$fString); $fString = str_replace( chr(10), '
',$fString); } return $fString; }

IT鸟 2011-06-29 15:56 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

问天 — Wed, 29 Jun 2011 07:56:28 GMT

@testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。

问天 2011-06-29 15:56 发表评论

Re:Web安全，以新浪微博“郭美美”蠕虫为例

testzhangsan — Wed, 29 Jun 2011 07:50:10 GMT

@问天请问楼主，POST 提交相对来说安全一点，在服务器端验证是否是跨域 Post ，还有验证数据的正确性，比如是否为空，是否是整数等等，以及 Rmove Html 应该就可以了吧？这样还有漏洞吗？对 XSRF 不明白！

testzhangsan 2011-06-29 15:50 发表评论