web 安全
关注
分享
扫一扫
早上的阳光
拥有多年软件开发经验,两个国家级管理证书,一个国际管理认证证书,一直奋斗在一线的IT民工。
展开
-
跨站点请求伪造
跨站点请求伪造IBM appscan扫描漏洞--跨站点请求伪造appscan修订建议:如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie 的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 c转载 2016-07-26 12:29:49 · 506 阅读 · 0 评论 -
总结 XSS 与 CSRF 两种跨站攻击
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过 Tidy 之类的过滤,我一定会在模板输出时候全转载 2016-07-26 15:53:07 · 1068 阅读 · 0 评论