本文来自新浪安全：http://sec.sina.com.cn/Article/view?id=19 文/许章毅·新浪安全 Web应用程序一般会有对系统文件操作的功能，常常用到提交的参数来指明文件名，形如：http://www.nuanyue.com/getfile ...

　　路径遍历漏洞是什么? 　　为了识别位于受限的父目录下的文件或目录，软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素，能够导致访问受限目录之外的位置。 　　许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如，“..”、“/”)可到达受限目录之外的位置，从而获取系统 ...

前端安全漏洞与防范 跨站脚本攻击XSS 定义 XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻 击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML标签或 JavaScript进行的一种 ...

1.XSS 原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。 理论上，只要存在能提供输入的表单并且没做安全过滤或过滤不彻底，都有可能存在XSS ...

参考文章： 8大前端安全问题（上） https://insights.thoughtworks.cn/eight-security-problems-in-front-end/ 8大前端安全问题（下） https://insights.thoughtworks.cn ...

　　现在许多网站和APP在上线之前，都会找安全公司进行渗透测试，目的就是提高产品的安全，防止黑客对产品的漏洞进行渗透攻击，检测网站、APP是否存在漏洞，网站APP越容易受到篡改数据，以及攻击等情况时而发生，近几年移动互联网的快速发展，APP应用，网站也越来越多，网站与与应用APP安全应该要受到重视 ...

一、路径遍历 路径遍历是指应用程序接收了未经合理校验的用户参数用于进行与文件读取查看相关操作，而该参数包含了特殊的字符(例如“..”和“/”)，使用了这类特殊字符可以摆脱受保护的限制，越权访问一些受保护的文件、目录或者覆盖敏感数据。本文以JAVA 语言源代码为例，分析路径遍历缺陷及该缺陷产生的原因 ...

文件整理 Tomcat Windows + IIS + asp 路径整理 （1）/../../../../../../../../../../../../../../../../../etc/passwd%00 ...