檢測點:客戶端與web伺服器互動的介面
一.檢測點提取
根據web網頁中的標籤,提取其中的表單資訊以及以get方式提交的url資訊,然後通過這些檢測點,向web伺服器提交攻擊向量,實施滲透測試
(1)表單資訊提取
表單組成:
1)表單標籤:包含處理表單資料的目的url以及向web伺服器提交資料的方法
2)表單域:包含文字框、隱藏域、口令框、多行文字框、下拉選擇框、單選框、核取方塊和檔案上傳框等
3)表單按鈕:包括提交按鈕、復位按鈕等,用於將向web伺服器傳送資料
在web網頁中,表單的形式為:
屬性元素:name為表單的名稱,method定義了提交表單資訊的方法,即post或get,action定義了表單處理網頁的位置
標籤元素:input、textarea、select、option
input標籤表現形式為
type
="type_name"
name
="field_name"
value
="value_name"
>
對於type屬性:
在hidden中的資訊使用者不可見
表單提取流程:
(2)url檢測點提取
通過分析頁面中的標籤,將其中「a」、「link」、「base」、「frame」、「img」、「script」等標籤內所對應的url轉化為絕對路徑後,獲取其中包含「?name=value」的url資訊,可採用正規表示式對這樣的url進行提取
二.檢測點過濾
檢測點過濾處理可採用布隆過濾器演算法
檢測點過濾處理主要過濾兩類檢測點:
1.重複的檢測點,從而可以提高檢測效率
2.不滿足檢測要求的檢測點,如檢測點中沒有可以提供文字注入的文字框(無法向伺服器端提交攻擊向量)、引數不符合規範等
Jfinal處理XSS漏洞
建立basecontroller繼承jfinal自帶的controller,並供所有業務controller繼承。basecontroller中重寫controller的getpara string 方法 重寫getpara,處理xss漏洞 override public string getpar...
XSS知識點歸納
xss攻擊指通過html注入篡改網頁,插入惡意的指令碼,當使用者瀏覽網頁的時候,控制瀏覽器。xss攻擊成功後,攻擊者能夠對使用者當前的瀏覽頁面植入惡意指令碼,通過惡意指令碼,控制使用者的瀏覽器,這些完成各種具體功能的惡意指令碼,成為xss payload 實質上就是js指令碼,任何js指令碼能實現的...
點雲資料處理(分類 分割 檢測)
2 pointnet 3 總結 傳統深度學習模式 處理二維影象資料 使用序列化的卷積核處理序列化的二維影象資料,但點雲是一種不規則資料,在空間上和數量上可以任意分布,因此傳統的深度學習模式無法處理點雲資料。在將實景儲存為點雲資料時 以pcd為例 是一行儲存乙個點的xyz資訊,如果放大到多行點雲資料來...