Press "Enter" to skip to content

Yii框架不得不说的故事—安全篇

Yii框架关于安全

  • XSS攻击
  • CSRF攻击
  • SQL注入
  • 文件上传漏洞

xss攻击介绍

  • 跨站脚本攻击
    js脚本注入

xss攻击之盗号代码

跳转将cookie传递给其他网站

xss攻击之获取cookie

xss攻击之盗号原理

根据cookie寻找session文件完成验证通过

xss攻击之寻找登录cookie

xss攻击之httponly

加上httponly可以阻止xss攻击

xss攻击之非法转账

xss攻击之转账代码

xss攻击之后台注入

xss攻击之反射型xss

通过参数传递注入

xss攻击之浏览器过滤

add(‘X-XSS-Protection’,’0′) 屏蔽xss攻击

xss攻击之转账链接

xss攻击之转账代码反射

xss攻击之代码越狱

在前面增加双引号,后面增加双斜杠转义

xss攻击之html实体编码

&quot

xss攻击之URL编码

xss攻击之一种反射性攻击的场景

xss攻击之蠕虫

以用户身份提交错误js,js再次感染更多的页面

xss攻击之新浪微博xss蠕虫

在输入文章后引入外部Js

xss攻击之转码防范

Html::encode 转码

xss攻击之过滤防范

HtmlPurifier::process

csrf攻击之get型攻击

添加超链接

csrf攻击之post型攻击

get请求更容易遭受csrf攻击

伪造form表单

csrf攻击之防范

  • 填写验证码
  • 判断提交来源

csrf攻击之yii验证方式

csrf攻击之yii验证过程

对传回服务器的token进行解密

sql注入的攻击方式

–表示注释的意思

‘ or 1=1 — 忽略前面条件

解决办法:对参数进行转义 addslasches

sql注入yii的防范

使用链式操作会执行参数绑定 使用Wireshark进行测试

文件上传漏洞之类型校验

通过文件扩展名判断

文件上传漏洞之绕过校验

使用Fidder进行拦截参数并重新发送

关于文件上传漏洞