网络安全
关注
分享
扫一扫
文章平均质量分 51
SiC 软件
SiC B2B2C Shop 开源商城 作者
展开
-
富文本编辑器的跨站脚本问题参考
转自:茄子富 文本编辑器是一个开放式的HTML内容编辑环境,必须实现文字样式、链接、图片等功能的HTML,所以用户POST的内容必须含有HTML标签,但是任由 用户输入各类HTML标签,会造成一些潜在的恶意脚本攻击,借这类情况正好分析出现XSS的情况,主要针对IE浏览器.一.首先是微软建议我们可能造成恶意脚本攻击的标签.类似如下的tag:appletbase bas...原创 2013-05-19 23:57:33 · 411 阅读 · 0 评论 -
跨站脚本攻击-----为什么要过滤危险字符串
不算前言的前言好像已经很久没有写过安全方面的文章了,所谓安全圈子里面,大家也许认为玄猫消失了,不过,我想,作为骇客的玄猫也许从来没有出现过吧。没错的,我是玄猫,如果前两年你看过《黑客X档案》或者《黑客手册》这样的民间安全杂志,那么你也许见过这个名字。或者,很抱歉的,你的站点有时会出现过“玄猫啊玄猫……”这样的提示框或者文字,那么我很遗憾,我写的漏洞利用工具被人滥用到你的网站上了,蓝色理想里的程序...原创 2013-05-20 12:01:53 · 642 阅读 · 0 评论 -
使用Jsoup消除不受信任的HTML (来防止XSS攻击)
问题--XSS攻击在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。 方法--过滤可以选用的工具有:Jsoup 是一款 Java 的HTML 解析器,可直接解析某个URL地...原创 2013-05-20 22:45:08 · 714 阅读 · 0 评论 -
百度编辑器Ueditor的黑白名单过滤
百度编辑器Ueditor 黑白名单过滤serialize: 黑白名单配置。UEditor针对进入编辑器的富文本内容提供了节点级别的过滤,可以通过该配置的修改来达到控制富文本内容的目的黑白名单可以同时使用,也可以单独分开使用。黑名单中的标签将会被编辑器完整地过滤掉,包括标签本身以及标签之内的任何内容。而不在白名单之中的那些标签则仅被过滤了标签本身,其内容会继续走过滤流程。具体的黑白名单配置示例如下所...原创 2013-05-31 15:04:18 · 1712 阅读 · 0 评论 -
博客自动生成目录功能--Jsoup分析H1标签
一、写在前面的话这篇文章主要介绍博客自动生成目录的功能,以及怎么来生成漂亮的目录。为什么要有目录呢?一篇很长的文章,有了目录后就可以定位到想看的位置。这是非常方便的!1、自动生成目录原理1public static List<String> Anchor = new ArrayList<String>(){{2 ...原创 2013-08-01 22:35:33 · 327 阅读 · 0 评论 -
深入浅出DDoS攻击防御
文/魏兴国敌情篇 ——DDoS攻击原理DDoS攻击基础DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。按照发起的方式,DDoS可以简单分为三类。第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快...原创 2014-05-18 00:49:11 · 207 阅读 · 0 评论