先简单介绍一下XSS
XSS是一种注入类攻击目前分为三种
1、反射性
2、存储性
3、dom型
简单的xss大概就是一段js脚本代码
其他的还有 ifrom img标签一类的
大概作用可以窃取cookie什么的,
如果要防范的话,
策略上呢,防止cookie被窃取用httponly可以解决,将关键的cookie用httponly
html最好在输出端做操作,貌似owasp可以帮你解决一类的
还有一种 CSRF(跨站请求伪造)
大概这种请求对受害者需要了解的比较多才能做到,
比如在受害者经常进入的网站里嵌入脚本什么的,链接的话就可以帮助你完成你想要的
解决方案呢:
可以试着验证 refer~什么的,但是不是很好
进一步可以试着用token来做验证
目前java的一些网站框架就自带这些东西了
还有一种就是 SSRF
大概就是服务器不小心被自己坑了~~
有关mysql 的权限要低权限哈别给太高的权限
注意文件上传的问题,如果上传了可执行文件,就会出现问题,注意监测
down.jsp?path=1.jsp
还有注意网站重定向
如果重定向是依靠网址重定向,则可能会被劫持跳转到其他钓鱼网站。
查询服务器目录
如果页面中有传路径查看文件可能会出现问题
比如 path=../etc/password
或者 ../WEB-INF/web.xml
解决过滤 ../
或者用file表或者hash值来做id
注意这些请求
curl:
ftp:
file:
sql注入工具
sqlmap
xss
御剑
用户的role权限不建议写在session中
点击查看更多内容
5人点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦