含有 攻击 标签的文章

乐语和53Kf的Xss

date 2010年04月08日 | category 学习笔记

作者:Heart 攻击模式: ======================================= 客户端:网络用户(发送恶意代码)——>服务端:客服人员(解析恶意代码) 可以看到53kf密码明文出现在cookie中。 内容Heart牛已经给大家了,至于怎么利用大家八仙过海各显神通吧! ReadMore

绕过CSRF防御的一种方法

date 2010年03月05日 | category 学习笔记

作者:xisigr CSRF产生的本质在于,WEB主要依赖于使用cookie来传递令牌。只要WEB应用程序依赖于HTTPcookie来传递会话令牌,那么本身就存在攻击的可能性。所以,Monyer着手从cookie上面来防御CSRF的思路还是很赞的。 Monyer的两篇文章: http://hi.baidu.com/monyer/blog/item/6097347a958babe62e73b3bf.html http://hi.baidu.com/monyer/blog/item/00427989bbf8edb80e244420.html 防御CSRF现在最普遍的方法是使用token。通常,在第一阶段应用程序在一个隐藏的表单字段中放入一个token;在第二个阶段,程序确认这个 ReadMore