摘要:
1.背景 现在很多应用都存在XXE(XML External Entity attack)漏洞,就是xml外部实体攻击,比如facebook,很多XML的解析器默认是含有XXE漏洞的。 2.xml的定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对 阅读全文
摘要:
一.同源策略 影响同源策略的因素 Host(域名或IP地址,如果是IP地址则看做一个根域名) 子域名 端口 协议 Host(域名或IP地址,如果是IP地址则看做一个根域名) 子域名 端口 协议 注意 :页面存放JavaScript文件的域并不重要,重要的是加载JavaScript页面所在的域是什么 阅读全文
摘要:
XSS 根据效果不同可分为三类: 反射型XSS 存储型XSS DOM XSS 反射型XSS 存储型XSS DOM XSS 一.反射型XSS 反射型XSS只是简单地把用户输入的数据'反射'给浏览器,往往需要诱导用户“点击”一个恶意链接才能攻击成功,也叫非持久性XSS 二.存储型XSS 存储型XSS会把 阅读全文
摘要:
资料来源:阮一峰博客 一.背景 XSS最常见,危害最大的网页安全漏洞,“网页安全政策”从根本上解决问题 二.简介 CSP的实质是白名单制度,明确告诉客户端那些外部资源可以加载和执行。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 CS 阅读全文
摘要:
黑帽SEO手法 0x00:概念 SEO全称搜索引擎优化,通过站内优化和站内优化方式来提升搜索引擎排名,有白帽SEO和黑帽SEO。 因为正规的SEO优化需要很长时间,黑帽SEO手法让站内快速提升排名的有: 黑链(暗链) 站群 网站劫持(搜索引擎劫持) 桥页 黑链(暗链) 站群 网站劫持(搜索引擎劫持) 阅读全文