随笔分类 - web安全
摘要:一、CSRF介绍 伪造一个站点,在站点中伪造一个向其他站点的请求,在用户访问该站点时让用户执行 假设有如下URL能删除一篇文章: 攻击者在自己的域中构造一个页面: 内容为: 使用一个img标签,其地址指向了删除博客文章的链接 在用户访问该站点的时候,用户看到了一张无法显示的图片,并且用户删除了该文章
阅读全文
摘要:0、认识跨站脚本 举一个跨站脚本的简单例子。 假设一个页面将用户输入的参数直接显示到页面之中。(比如有如下代码) 在实际的浏览器中,在param中提交的参数正常会展示到页面之中。比如输入下面的URL: 然后发现浏览器页面的提供会变成这样: 此时如果提交下面的URL: 会发现alert被执行了 1、跨
阅读全文