随笔分类 -  安全漏洞

摘要：一、CSRF是什么 CSRF全称为跨站请求伪造（Cross-site request forgery），是一种网络攻击方式，也被称为 one-click attack 或者 session riding。 二、CSRF攻击原理 CSRF攻击利用网站对于用户网页浏览器的信任，挟持用户当前已登陆的Web 阅读全文

摘要：对于程序员来说安全防御，无非从两个方面考虑，要么前端要么后台。 一、首先从前端考虑过滤一些非法字符。 前端的主控js中，在<textarea> 输入框标签中，找到点击发送按钮后，追加到聊天panel前 进行过滤Input输入内容 // 过滤XSS反射型漏洞 filterInputTxt: funct 阅读全文

摘要：什么是会话固定攻击？ 会话固定攻击（session fixation attack）是利用应用系统在服务器的会话ID固定不变机制，借助他人用相同的会话ID获取认证和授权，然后利用该会话ID劫持他人的会话以成功冒充他人，造成会话固定攻击。 看下面Session Fixation攻击的一个简单例子： 整 阅读全文