web安全面试题XSS

xss面试题

————————————————
版权声明:本文为 CSDN 博主「_PowerShell」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_51577576/article/details/127965783

转发博文 http://t.csdn.cn/zjs1R

# 能简要介绍一下 XSS 的原理吗?

1
2
XSS攻击通常是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、 LiveScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
简单来说:就是程序对输入输出没有做合适的处理,导致攻击者构造的字符输出到前端时被浏览器执行当作有效代码解析执行从而产生危害

Read More

web安全漏洞

Unicode欺骗攻击

参考 https://www.ccvalue.cn/article/1403910.html
https://www.wenwenya.com/anquan/474965.html
https://www.51cto.com/article/692172.html

# 同形异意攻击(Homoglyph Attack)

同形异意攻击(Homoglyph Attack)是非常古老的一种视觉欺骗攻击方式。在机械打字机时代,很多打字机为了简化设计和降低制造及维护成本,键盘上没有单独的 1 和 0。打字员会使用小写字母 L 和大写字母 i 来代替数字 1,使用大写字母 O 来代替数字 0。
在此之后,打字机被文字处理器所代替,信息化时代逐步到来,字符编码也开始由 ASCII 字符集逐渐扩充到 Unicode 字符集。

Read More

web安全工具

dirsearch

# 简单介绍

dirsearch 是一个基于 python 的命令行工具,旨在暴力扫描页面结构,包括网页中的目录和文件。
当对目标网站渗透测试时,第一步应该是找到易受攻击网站的隐藏目录。
这些隐藏的 Web 目录非常重要,因为它们可以提供一些非常有用的信息,即在面向公众的网站上看不到的潜在攻击媒介。
比较快捷的攻击方法之一就是采用暴力猜解网站目录及结构,其中包括网站中的目录、备份文件、编辑器、后台等敏感目录,为此,需须选择一个功能强大的工具。

Read More

title: 密码学的前世今生(短分享)
date: 2022-9-01 19:53:30
categories:
- 密码学

# 发展

# 起源(4000 年以前)

有意识的隐藏信息

# 古代密码(1900 年以前)

纯手工或采用简单机械

# 古典密码(1900-1949)

采用复杂机械机电设备
也有些内容称 1949 年之前为古典密码

  1. 最早的密文
    公元前 19 世纪,古埃及十二王朝,祭祀用一些奇怪的符号来代替常用的象形文字,撰写碑文。核心思想是代替、代换。


2. 斯巴达人的 "天书" 密码
公元前 400 年,斯巴达人把一个类似于纸袋、羊皮带、皮革带类似的东西,呈螺旋状的缠在一根权杖或木棍上,之后再沿着棍子的纵轴书写文字,核心思想是替换。

  1. 总结
    古典密码是艺术还不是科学。
    出现一些密码算法和加密设备。
    密码算法的基本手段(代换&置换)针对的是字符。

Read More

访问量 | 访客 |