摘要： 当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时，我们就说发生了跨站请求伪造(CSRF)攻击。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”，因为互联网上的许多站点对此毫无防备，同时还因为这类攻击一直为web开发和安全社区所忽视。 一、概述 当存心不良的Web站点导致用户的浏 阅读全文

摘要： 本文的上篇中，我们着重介绍了跨站请求伪造的原理，并指出现有的安全模型并不能真正防御这种攻击。在下篇中，我们将向读者介绍在一些大型站点上发现的几个严重的CSRF漏洞，攻击者利用这些漏洞不仅能够采集用户的电子邮件地址，侵犯用户隐私并操控用户帐户。如果金融站点出现了跨站请求伪造漏洞的话，这些漏洞甚至允许攻 阅读全文

摘要： 跨站请求伪造（即CSRF）被Web安全界称为诸多漏洞中“沉睡的巨人”，其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞，并详细说明造成这种漏洞的原因所在，以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例，最后提提了一些防范该攻击的建议，希望本文对读者的安全测试能够有所启发。 一、CSRF概述 阅读全文

摘要： 一.CSRF是什么？ CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 二.CSRF可以做什么？ 你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的 阅读全文

摘要： laravel版本：5.3 今天做的是引入第三方的phpquery类库，方法： 在laravel的app目录下自定义一个文件夹，我用的名字是：Libs 然后直接将phpquery类库扔进这个目录 在composer.json中的autoload下的classmap下加入"app/Libs/phpQu 阅读全文

摘要： 概述 以往对于基于浏览器的应用而言，访问本地文件都是一件头疼的事情。虽然伴随着 Web 2.0 应用技术的不断发展，JavaScript 正在扮演越来越重要的角色，但是出于安全性的考虑，JavaScript 一直是无法访问本地文件的。于是，为了在浏览器中能够实现诸如拖拽并上传本地文件这样的功能，我们 阅读全文

摘要： Html5终于解决了上传文件的同时显示文件上传进度的老问题。现在大部分的网站用Flash去实现这一功能，还有一些网站继续采用Html <form>with enctype=multipart/form-data，但是需要修改服务器端可用才能显示给用户文件上传的进度。本质上你需要做的工作是在服务器端接 阅读全文

摘要： 最近给客户开发了基于Asp.Net mvc5 +Mysql+EF的项目,但是在EF里无法看到Mysql执行的语句 之前也找到一些监控Mysql的软件但一直没有用起来,现在又遇到了问题即在EF里Mysal的查询没有结果而在Mysql里没有问题 因为不知道EF生成的Mysql语句所以不知道是不是Sql的 阅读全文

摘要： MySQL日志管理 2013年09月26日 ⁄ MySQL ⁄ 共 14266字 ⁄ 评论数 1 ⁄ 被围观 7,213 views+ 一、日志类型： MySQL有几个不同的日志文件，可以帮助你找出mysqld内部发生的事情： 日志文件 记入文件中的信息类型 错误日志 记录启动、运行或停止时出现的问题。 查询日志 记录建立的客户端连接和执行的语句。 二进制日志 记... 阅读全文

摘要： 01 话说有一文章表article，存储文章的添加文章的时间是add_time字段，该字段为int(5)类型的，现需要查询今天添加的文章总数并且按照时间从大到小排序，则查询语句如下： 02 03 1 select * from `article` where date_format(from_UNI 阅读全文