linhl_sdysit的博客

X-Frame-Options未正确配置描述点击劫持，clickjacking，也被称为UI-覆盖攻击，是一种视觉上的欺骗手段。攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面，执行攻击者预先设定的操作，达到劫持用户操作目的分析方案HTTP协议中定义了响应头X-Frame-Options，该响应头表示是否可以加载一个iframe 中的页面。如果服务器响应头信息中 没有X-Frame-Options或者配置为X-

SS漏洞：鼠标事件注入描述：Web应用程序没有对来自客户端的请求值进行任何验证或编码就进行使用。攻击者可以构造请求字符串，绕过访问控制，诱使用户执行恶意操作，使用户数据泄露甚至造成更多危害分析：发现跨站脚本漏洞，详细信息如下：漏洞位置: http://www.seeapp.ac.cn/loginHTTP方法: POST发送数据: next=<img src=5DG3ye onerror=5DG3ye(3055)>修改参数： next解决方法在服务端正式处理之前对提交数据的合法性

tornado服务器路径泄露漏洞该漏洞一般是由于目标web应用没有处理好应用错误信息导致的。如果攻击者获取到这些信息，可以了解目标服务器目录结构，并通过利用该信息，再配合其它漏洞对目标服务器实施进一步的攻击。Traceback (most recent call last): File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 1590, in _execute result = method