Web安全学习笔记 XSS上

Web安全学习笔记 XSS上繁枝插云欣 ——ICML8XSS的分类和基本认识XSS的危害同源策略的基本认识一.XSS的分类和基本认识1. 简介XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。2

《Web安全渗透全套教程（40集）》学习笔记 | XSS跨站脚本攻击

学习视频来源：B站《Web安全渗透全套教程（40集）》 个人在学习的同时，也验证了视频中的实验部分，现将授课笔记和实验笔记整理下来。 XSS简介 原理解析 构造XSS脚本 常用HTML标签 常用JavaScript方法 构造XSS脚本 反射

《Web安全渗透全套教程（40集）》学习笔记 | SQL注入攻击及防御

学习视频来源：B站《Web安全渗透全套教程（40集）》 个人在学习的同时，也验证了视频中的实验部分，现将授课笔记和实验笔记整理下来。 SQL注入危害 SQL基础回顾 连接数据库 查看数据库：show databases 进入dvwa数据库

《Web安全渗透全套教程（40集）》学习笔记 | 文d件d包d含d渗d透d原理及实验

学习视频来源：B站《Web安全渗透全套教程（40集）》 个人在学习的同时，也验证了视频中的实验部分，现将授课笔记和实验笔记整理下来。 项目实验环境 写shell.php文件，一句话木马 原理及危害 绿色才是应该包含的，红色和黄色的为不应包含的

《Web安全渗透全套教程（40集）》学习笔记 | 文件上传漏洞原理及实验

学习视频来源：B站《Web安全渗透全套教程（40集）》 个人在学习的同时，也验证了视频中的实验部分，现将授课笔记和实验笔记整理下来。 实验环境 目标靶机：OWASP_Broken_Web_Apps_VM_1.2，用户名/密码：root/ow

安全测试===Web 安全渗透方面的学习路线

作者：向生李链接：https://www.zhihu.com/question/21914899/answer/39344435来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。 Web安全工程师 Web安全相关概念熟悉基本概念（SQL注入、上传、XSS、CSRF、一句话木马等）。 通过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）进行Google/S

Redis总结（五）缓存雪崩和缓存穿透等问题 Web API系列(三)统一异常处理 C#总结（一）AutoResetEvent的使用介绍（用AutoResetEvent实现同步） C#总结（二）事件Event 介绍总结 C#总结（三）DataGridView增加全选列 Web API系列(二)接口安全和参数校验 RabbitMQ学习系列（六）: RabbitMQ 高可用集群

Redis总结（五）缓存雪崩和缓存穿透等问题   　　前面讲过一些redis 缓存的使用和数据持久化。感兴趣的朋友可以看看之前的文章，http://www.cnblogs.com/zhangweizhong/category/771056.html 。今天总结总结缓存使用过程中遇到的一些常见的问题。比如缓存雪崩，缓存穿透，缓存预热等等。 缓存雪崩 　　缓存雪崩是由于原有缓

web安全day34：一步一步学习Linux防火墙

目录 实验：初步理解Linux防火墙 修改防火墙策略 规则的增删 注意事项： 数据包的常见控制类型 丢弃和拒绝的区别 规则的匹配条件 通用匹配 隐含匹配 显式匹配 规则的备份和还原 备份规则 还原规则 linux中，防火墙的功能由iptables实现。 防火墙的作用是对请求进行

web安全day21：学习使用最基本的批处理程序

一个简单的小程序练手。 @echo off color 0a title 小程序 v1.0 :menu cls echo ======================

web安全day11：进一步学习windows域的gpo

我们此前已经讲过，GPO的应用规则是层级化的，即从上到下，层层叠加，如有冲突，以下级为准，那么有什么办法改变这种规则呢？ 1、继承 以桌面背景为例，假设董事会的gpo定义的桌面背景和整个公司的gpo定义的桌面背景不一致

web安全day9：5个实验实实在在学习windows域部署

1、实验一：部署安装活动目录 需要提前准备windows2008虚拟机，后续我们会将其配置称为dc，将其连接到vmnet2上，并且关闭其防火墙。同时还需准备windowsxp和windows7，作为后续的成员机。 配置静态ip地址10.1.1.5/24 开始--运行

Web渗透测试----1、Web安全学习导图

Web安全学习计划

http://cisps.org/bbs/viewtopic.php?f=71&t=26125 标题为Web安全学习计划，实属我的愿望：将下面这份Web学习清单完善成为一个Web安全，学习计划指导性帖子。 说明：本来打算给自己设计一个详细的学习计划，但是发现这些学习内容罗列出来后，发现这是个很庞大的系统，一时不知该如何来安排时间（自已把自己杯具了~~）。那就暂时成了如下的一个学习清单列表

2014第7周1Web安全概念学习

晚上没有加班，回来后尝试几个感觉不错的行动：1.列出当天最有意义的五件事；2.靠墙站，纠正自己的姿势同时锻炼眼睛；这两点以后也要坚持成为每天的习惯。然后我又陷入了知乎的各种信息中，一个多小时的时间悄悄地流逝，我浏览过的内容中印象深的是性格改变，自我提升，自我管理，web安全相关的内容。下面摘录我觉得很不错的Web安全相关的内容： CSRF 攻击CSRF的全称是Cross Site Re

2014第2周三Web安全学习

2014第2周三Web安全学习先记录下自己关于json和xml作为数据传递媒介的差异：在写一个java方法时我将正确结果返回的对象转成json返回，将错误结果根据不同原因以xml形式返回，同事看后有不少意见，想象也是xml作为接口间数据传递媒介时对这种情况比较容易处理，如果是json也可以为不同类型结果来做，调用接口时先判断结果类型无意外时再做json2object操作。各种Web应用安全漏洞，

Web安全测试学习笔记——“淘金”式攻击

做软件测试的目的在于找到缺陷和证明缺陷，在这个过程中进行全面覆盖性或反复测试，以图无限地趋近100%，结果可能很好，但工作效率非常低。在WEB安全测试上，如何避免大海捞沙，需要有的放矢，把有价值的信息淘出来。 安全测试的出发点和功能测试不太相同，安全测试的手段就是攻击，攻击，还是攻击。寻找有价值的信息，就是测试的第一招。“淘金”就是其中的一种方式，一般来说由以下信息需要关注。 ◆ HTML