10 年前的博客似乎有点老了，但是XSS 攻击的威胁依然还在，我们不得不防。 窃取Cookie是非常简单的，因此不要轻易相信客户端所声明的身份。即便这个Cookie是在数秒之前验证过，那也未必是真的，尤其当你仅使用Cookie验证客户端的时候。 2006 年 1 月，LiveJournal遭到 ...

XSS-漏洞测试案例 xss案例 1.cookie的窃取和利用 2.钓鱼攻击 3.XSS获取键盘记录 在进行案例之前首先要搭建xss后台 搭建xss后台 1.在pikachu文件夹下面，把pkxss单独放在www下面； 2.修改配置文件 数据库服务器地址 ...

注：本文内容主要来自《网络窃密、监听以及防泄密技术》和平时学习。 一、“中间欺骗”式网络基础设施攻击 1. VLAN跳跃攻击 　　虚拟局域网（VLAN）是对广播域（数据包所能达到的范围）分段的方法，还经常用于为网络提供额外的安全，一个VLAN上的计算机无法与没有授予访问权的另一个VLAN ...

xss案例 cookie的窃取和利用 钓鱼攻击 Xss获取键盘记录 在进行案例之前首先要搭建xss后台 搭建xss后台 1.在pikachu文件夹下面，把pkxss单独放在www下面 2.修改配置文件 数据库服务器地址，账号，密码 ...

前言 所谓的MITM攻击（即中间人攻击），简而言之就是第三者通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方毫无感知。这个很早就成为黑客常用的手段，一会聊的315晚会窃取个人信息只是MITM最基础入门的一种攻击方式。 大牛绕道，此篇小白普及篇。 目录 ...

XSS（跨站脚本攻击）是指攻击者在返回的HTML中嵌入javascript脚本，为了减轻这些攻击，需要在HTTP头部配上，set-cookie：httponly-。这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在 ...

前言 最近在本地调试时，发现请求接口提示“未登录”，通过分析HTTP请求报文发现未携带登录状态的Cookie： PS：登录状态Cookie名是TEST 再进一步分析，发现Cookie的属性SameSite的值是Lax： 在web.config里设置sameSite="None ...

因为 HTTP 协议是无状态的，所以很久以前的网站是没有登录这个概念的，直到网景发明 cookie 以后，网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西，但它很不安全，其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带，CSRF 攻击 ...