1.今天闲着没事看了看关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的知识,xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性.其实XSS攻击就是网站输入框没有限制非法字符,或者没有对脚本内容进行…

最近有个好友让我帮忙爬取个小说,这个小说是前三十章直接可读,后面章节需要充值VIP可见.所以就需要利用VIP账户登录后,构造Cookie,再用Python的获取每章节的url,得到内容后再使用 PyQuery 解析内容. 注意:构造Cookie的过程中,需要你在 Chrome/Firefox 登录,然后自己在控制台查看 cookie,然后手动加入. 第一部分:手动构造cookie登录 #version 2.7 #!/usr/bin/python import HTMLParser import…

昨天网站又突然不正常了,前两天都是好的.. 具体来说就是wp后台登录不进去,一直在登录页跳转,与此同时服务器上其他网站也有这个问题,而且有些网站的板块内容也缺失了, 所以首要就是要登录进后台看看是不是网站遭黑了(但我们真没什么黑的价值啊..) 网上就如何解决登录一直本页跳转的分析都差不多,要么加后缀,要么改pluggable文件.我都试完了,却毫无起色. 网站文件的文件夹修改日期是前一天,但是里面的文件却都没动过.难道是被人删了文件?但是跟备份的文件一对比,数量并没有少. 还是搜吧,最后,终于,…

不要在公共场登陆 自己重要的用户名和密码: 不用的时候,[关闭浏览器],只点[退出],还是会有安全隐患.--没有绝对的安全由于http的无状态性,总不能每次访问页面都要输入用户名和密码,所以为了保持状态,cookie就用到了.session本质也是生成唯一标示 sessionid存到cookie里面来进行用户状态保持,辨别.那么,cookie是存在客户端的,如果被别有用心的人,[查看元素],跨站攻击,流氓木马病毒等获取到 这个标示的cookie,则就可以使用这个cookie通过后台的校验,看到真…

cookie 摘自 : http://www.williamlong.info/archives/3125.html 关于cookie的安全知识 :http://shaoshuai.me/tech/2014/08/16/cookie-theft-and-session-hijacking.html Cookie是什么 Cookie在英文中是小甜品的意思,但在计算机语言中,Cookie指 的是当你浏览某网站时,网站存储在你电脑上的一个小文本文件,伴随着用户请求和页面在 Web 服务器和浏览器之间传…

方法一:直接使用已知的cookie访问 特点: 简单,但需要先在浏览器登录 具体步骤: 1.用浏览器登录,获取浏览器里的cookie字符串 先使用浏览器登录.再打开开发者工具,转到network选项卡.在左边的Name一栏找到当前的网址,选择右边的Headers选项卡,查看Request Headers,这里包含了该网站颁发给浏览器的cookie.对,就是后面的字符串.把它复制下来,一会儿代码里要用到. 注意,最好是在运行你的程序前再登录.如果太早登录,或是把浏览器关了,很可能复制的那个cook…

用cookie保存登录的用户名和密码,当用户访问网站的时候,获取cookie的用户名和密码,通过用 用cookie保存登录的用户名和密码,当用户访问网站的时候,获取cookie的用户名和密码,通过用户名查找数据库里对应的密码,然后与cookie里的密码匹配,如果匹配成功则验证通过,如果匹配失败则验证失败清除cookie,请问这种验证方式是否危险? 蓝枫_晓 | 浏览 6780 次 发布于2015-01-19 18:39   最佳答案   当然.cookie是你的浏览器等访问网页是存在在你的本地硬…

Cookie的机制 Cookie是浏览器(User Agent)访问一些网站后,这些网站存放在客户端的一组数据,用于使网站等跟踪用户,实现用户自定义功能. Cookie的Domain和Path属性标识了这个Cookie是哪一个网站发送给浏览器的:Cookie的Expires属性标识了Cookie的有 效时间,当Cookie的有效时间过了之后,这些数据就被自动删除了. 如果不设置过期时间,则表示这个Cookie生命周期为浏览器会话期间,只要关闭浏览器窗口,Cookie就消失了.这种生命期为浏览会话…

一.前言 本平台是个人轻量级XSS测试平台,仅作为练习参考. 二.实验环境 服务器操作系统:Centos 7 Web容器:Apache 三.平台搭建过程 安装Apache 安装PHP 安装Git工具 从GitHub克隆XSS平台源码 # 删除默认网站内容 rm  -rf  /var/www/* # 创建新的网站目录 mkdir  /var/www/xss 从GitHub克隆xss测试源码(https://github.com/firesunCN/BlueLotus_XSSReceiver.git…

前言:使用PHP和MySQL开发后台管理系统的过程中,发现有一些通用的[套路小Tip],这里集中记录一下.结合工作中ing的后台业务,我逐渐体会到:除了技术知识外.能使用户体验好的“使用流程设计”积累也十分重要╭( ･ㅂ･)و ̑̑ 项目github地址:https://github.com/66Web/php_book_store,欢迎Star. 一.知识点记录 1.数据库的表名和列名 绝对不要和数据库的关键字相同  order  order by 订单表-indent   分类表-class…