标签:XSS攻击

Java

Spring Boot十种安全措施

xiaoli.wang 发布于 2018-07-31

Spring Boot大大简化了Spring应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气。 Spring Boot于2014年首次发布,自那以后发生了很多变...

阅读(35)评论(0)赞 (0)

Java

collection-document: 信息安全相关文章收集

xiaoli.he 发布于 2018-07-05

collection-document awesome 优质 安全文章 收藏  长期更新 如果只fork不能接受更新 github list 安全相关思维导图整理收集 – by p牛 安全思维导图集合 -by SecWiki awesome-web-secu...

阅读(154)评论(0)赞 (0)

Spring

从零搭建自己的SpringBoot后台框架(十三)

2

邓龙华 发布于 2018-05-17

Hello大家好,本章我们添加防止XSS攻击功能 。有问题可以联系我mr_beany@163.com。另求各路大神指点,感谢 一:什么是XSS XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自...

阅读(63)评论(0)赞 (0)

Java

后端架构师技术图谱

songhua.gao 发布于 2018-04-28

《后端架构师技术图谱》 最后更新于20180427 数据结构 队列 集合 链表、数组 字典、关联数组 栈 树 二叉树 完全二叉树 平衡二叉树 二叉查找树(BST) 红黑树 B-,B+,B*树 LSM 树 BitSet 常用算法 排序、查找算法 选择排序 冒泡排序 插入排序 快速排...

阅读(584)评论(0)赞 (0)

编程技术

基于JXWAF快速搭建钓鱼网站

9

songhua.gao 发布于 2018-04-23

一、前言 前段时间为了加强内部安全意识,需要进行钓鱼邮件演练,于是通过JXWAF快速搭建了一个钓鱼网站,发现效果不错,特此分享。 PS:本文仅用于技术讨论及分享,严禁用于非法用途 二、规则配置 首先假设攻击场景为获取公司内部OA账号,内部OA域名为oa.testing.com。那...

阅读(56)评论(0)赞 (0)

编程技术

ESI注入:利用缓存服务形成的SSRF和其它客户端形式渗透

8

darida 发布于 2018-04-22

Edge Side Includes (ESI)标记语言主要用于各种流行的HTTP代理中(如反向代理、负载均衡、缓存服务器、代理服务器)解决网页缓存问题。早前我们在进行安全评估时发现了Edge Side Includes (ESI) 的一个异常行为,经测试后发现,对ESI的成功利...

阅读(68)评论(0)赞 (0)

Spring

基于SpringBoot的后台管理系统(Apache Shiro,Spring Session(重点))(五)

1

dulong 发布于 2018-03-06

如果您有幸能看到,请认阅读以下内容; 1、本项目临摹自 abel533 的Guns,他的项目 fork 自stylefeng 的Guns!开源的世界真好,可以学到很多知识。 2、版权归原作者所有,自己只是学习使用。跟着大佬的思路,希望自己也能变成大佬。gogogo》。。 3、目前...

阅读(192)评论(0)赞 (0)

Spring

renren-security 3.1.0 发布:拿来即用的权限管理系统

2

hanze 发布于 2018-01-28

采用SpringBoot、MyBatis、Shiro框架,开发的一套权限系统,极低门槛,拿来即用。设计之初,就非常注重安全性,为企业系统保驾护航,让一切都变得如此简单。 具有如下特点: 灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求 完善的部门管理及数据权限,通过注解...

阅读(124)评论(0)赞 (0)

Spring

Guns-后台管理系统

1

yanxinchi 发布于 2017-10-12

Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl!Guns项目代码简洁,注释丰富,上手容易,同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),...

阅读(230)评论(0)赞 (0)

编程技术

【技术分享】MySQL带外攻击(含演示视频)

13

wenming.gapo 发布于 2017-02-06

翻译: Brexit 预估稿费:180RMB 投稿方式:发送邮件至 linwei#360.cn ,或登陆网页版在线投稿 概述 关于MSSQL和Oracle带外注入方面的研究已经很多了,不过我发现MySQL注入的研究情况并非如此。于是我萌生了根据自己在SQL注入方面的经验做相关研究...

阅读(354)评论(0)赞 (0)

编程技术

看我如何利用漏洞窃取麦当劳网站注册用户密码

17

xubiao.zhuang 发布于 2017-01-18

本文讲述了利用不安全的加密存储(Insecure_Cryptographic_Storage)漏洞和服务端反射型XSS漏洞,实现对麦当劳网站( McDonalds.com) 注册用户的密码窃取,进一步测试,还可能获取到网站注册用户的更多信息。 POC-利用反射型XSS漏洞绕过An...

阅读(115)评论(0)赞 (0)

编程技术

Snuck:一款自动化XSS漏洞扫描工具(含下载)

4

Harries 发布于 2017-01-12

工具简介【 下载地址 】 snuck是一款自动化的漏洞扫描工具,它可以帮助你扫描Web应用中存在的XSS漏洞。snuck基于Selenium开发,并且支持Firefox、Chrome和IE浏览器。 snuck与传统的Web安全扫描工具有显著的区别,它会尝试利用特殊的注入向量来破坏...

阅读(350)评论(0)赞 (0)

编程技术

Node.js几道面试题

dulong 发布于 2017-01-07

一些声明 通过这些问题就来判断一个人的Node.js水平是不太严谨的,但是 它能让你对面试者在Node.js上的经验如何有个大概的了解。 但是显然,这些问题并不会告诉你面试者思考问题的方式。 Show me the code. 结合一些编程题来考察面试者吧 大家都是人,不要做一个...

阅读(102)评论(0)赞 (0)

编程技术

防火防盗反钓鱼,2016年全球网络钓鱼总汇概览

32

尖兵 发布于 2016-12-14

一、前言 1.1 “邮件门” 美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。 “邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄...

阅读(167)评论(0)赞 (0)

编程技术

HTML应用安全

zhuangli 发布于 2016-12-04

HTML应用安全 通常,我们使用HTML来创建交互网站,我们不能保证网络上每一个用户都是正直,友好的,为了大部分友好用户的体验和安全,我们需要关注网站的脆弱性,防止攻击者通过这些弱点进行攻击,窃取用户信息。本篇关注应用程序的安全性及应用程序开发过程中易犯的错误,主要介绍跨站脚本(...

阅读(95)评论(0)赞 (0)

编程技术

[聊一聊系列]聊一聊WEB前端安全那些事儿

26

Harries 发布于 2016-08-22

欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码): https://segmentfault.com/blog… 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题...

阅读(453)评论(0)赞 (0)

编程技术

驱散前端安全梦魇——DOMXSS典型场景分析与修复指南

25

changyuan.xu 发布于 2016-08-16

0x00 背景 DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回...

阅读(104)评论(0)赞 (0)

编程技术

新型XSS总结两则

3

小丁 发布于 2016-06-30

0x00 简介 近期看到了两种XSS攻击手法:一种是利用JSONP和serviceWorkers的持久性XSS,一种是移动设备中的XSS,学习后总结一下,同时也请高手多多指点。 0x01 基于JSONP和serviceWorkers的持久性XSS 对于Web攻击者来说,通常都渴望...

阅读(75)评论(0)赞 (0)