随笔分类 -  web安全

摘要:一、CSRF介绍 伪造一个站点,在站点中伪造一个向其他站点的请求,在用户访问该站点时让用户执行 假设有如下URL能删除一篇文章: 攻击者在自己的域中构造一个页面: 内容为: 使用一个img标签,其地址指向了删除博客文章的链接 在用户访问该站点的时候,用户看到了一张无法显示的图片,并且用户删除了该文章 阅读全文
posted @ 2018-11-15 21:32 番茄汁汁 阅读(285) 评论(0) 推荐(0)
摘要:0、认识跨站脚本 举一个跨站脚本的简单例子。 假设一个页面将用户输入的参数直接显示到页面之中。(比如有如下代码) 在实际的浏览器中,在param中提交的参数正常会展示到页面之中。比如输入下面的URL: 然后发现浏览器页面的提供会变成这样: 此时如果提交下面的URL: 会发现alert被执行了 1、跨 阅读全文
posted @ 2018-11-14 22:51 番茄汁汁 阅读(471) 评论(0) 推荐(0)