摘要:
什么是HTTP only?如果你在cookie中设置了HTTP only属性,那么通过js脚本将无法获取cookie信息,这样能有效的防止XSS攻击。——————HTTP only代码<?phpini_set("session.cookie_httponly",1);?>——————开启了HTTP 阅读全文
posted @ 2023-01-11 16:47
掘掘子
阅读(762)
评论(0)
推荐(0)
摘要:
XSS跨站漏洞(会被浏览器内核版本限制)(限制条件太多)本质:在变量接收数据时,数据可以写成JS脚本,可以被执行和显示。产生层面:前端函数类:输出类函数——————XSS跨站漏洞分类反射型:攻击数据不会存储到服务器发包 x=xxx=>x.php=>回显存储型(留言):会将脚本存储到数据库,会一直执行 阅读全文
posted @ 2023-01-11 16:45
掘掘子
阅读(44)
评论(0)
推荐(0)
摘要:
常规WAF绕过思路标签语法替换 (a herf /img src ' 'onerror=' ')特殊符号干扰 (/ #)提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过——————通过拆解语句来确定拦截的东西是什么,从而选择绕过方法(如果不加尖括号可以不被拦截,但地址出错,可以末尾加个#———— 阅读全文
posted @ 2023-01-11 16:43
掘掘子
阅读(144)
评论(0)
推荐(0)
浙公网安备 33010602011771号