web安全

web安全

安全测试

安全测试
Burpsuite/Fiddler/Charlesproxy
Httpfox/Hackbar/User Agent Switcher/Poster
Curl
Sqlmap
入侵演练
DVWA/WebGoatWebGoat
反病毒
clamAV、Rootkit Hunter
漏洞扫描
openvas、nessus、appscan、wvs、netsparker
入侵检测
AIDE/tripwire

前端漏洞

任意重定向;
点击劫持;
XSS;
CSRF;

任意重定向

Web应用程序经常将用户重定向和转发到其他网页和网站,并且利用不可信的数据去判定目的页面。
如果没有得到适当验证,攻击者可以重定向受害用户到钓鱼软件或恶意网站,或者使用转发去访问未授权的页面。

危害:钓鱼过 URL安全扫描 数据泄露

限制重定向范围(白名单)
t.cn,内部引入URL安全扫描(黑名单)

No frame X-Frame-Options:Deny window.confirm() 错误的: ```javascript ``` 破解: ```javascript
posted @ 2018-01-05 10:39  WWSASUKE  阅读(158)  评论(0编辑  收藏  举报