呵呵？？？？？？？？

• csrf（跨站点请求伪造）：某个请求是攻击者伪造的，诱导用户进入陷阱。csrf需要通过服务器验证才能生效，这就需要使用cookie,cookie又分为临时和本地的，在IE和Safari不允许不同域获取本地cookie（第三方）而火狐谷歌则允许不同域获取本地cookie（第三方）。
  也就是在IE或Safari中，www.b.com若想用csrf攻击www.a.com时a上set-cookie不会成功传所以传不到b去导致攻击无法成功，而在火狐谷歌则会成功。但若使用p3p头，所有浏览器都不会拦截第三方cookie的发送。
  csrf的防御:1.验证码，让伪造的攻击被用户察觉，最简单有效。2.来源检查，服务器只对确定来源的请求开放。3.加密，csrf的重要操作都是可以被攻击者猜测到的，所以在用户和服务器约定一个公钥是一个解决办法，任何请求都需验证密钥。通常采用token值，真随机。
• 点击劫持：让用户点击透明或者伪造的iframe（诱导用户和页面产生交互行为）。点击劫持和csrf都是在用户不知情的情况下完成攻击。
  分为：1.falsh点击劫持，一个falsh游戏一步一步诱导用户进入陷阱。2.图片覆盖攻击（xsio），在重要的图片或信息上建立攻击用iframe。3.拖拽劫持与数据窃取，因拖拽流行，原理类似falsh劫持来完成数据窃取。4.触屏劫持，利用手机上的一些视觉效果比如在原来的搜索框隐藏时伪造搜索框。
  点击劫持的防御：frame busting。原理：请求地址和地址栏的地址是否相同。
  

以后再也不删配置文件了 t.t

没有去确认报名，这7个月的时间当是给大一还债。好好学安全并且准备4月的考试，keep moving。

• 绕过XSS检测。1.安全狗 2.xss-Filter：过滤白黑名单字符 3.长度限制
  XSS构造目标是绕过检测。1.编码或者大小写，使用编码工具 2.在长度有限时把XSS写到别处或者注释掉限制框 3.拆分跨站 4.出错时使用onerror调用js脚本
  shellcode调用就是调用外部的js脚本，可以使用payload搭建平台。因为放在外部简单，可以避免一些检测。攻击成功后，获得的信息（cookie，ip，剪切板等）反馈到在平台上。
  cookie劫持：算法生成独一无二的cookie，分为session cookie，临时和3rd-party cookie，长时间。可以使用http only防御，原理是cookie只能在http标签传输不能再在js里传输。
  

世事无常，珍惜眼前你所爱的人。

• XSS漏洞里的反射型可以被几乎所有浏览器截获。反射型可以在url后或者任何富文本框中尝试，这种方法称为盲打。还可以用扫描器扫描网站是否存在漏洞，比如WVS，UNIWASS扫描器等。
  储存型XSS可以通过搭建平台，创建paylaod(获取方法)获取信息。
  明天接着学习简单绕过xss，shellcode调用等。计划15号开始学SQL，CSRF吧。顺利的话，12月开始学渗透。
  

今天学习了XSS的防御法则。

• XSS的防御的复杂的。主要有三个基础方法：httponly,标签白名单，对字符的编码或转义。
  1.httponly:在set-cookie时添加httponly标记，将cookike与客户端ip绑定。但可以通过盗取IP，模拟IP破解。
  2.标签白名单：用户输入数据（富文本等）时只对一些简单无危害的标签通过。但存在一些敏感字符，筛选后会改变本来意图。
  3.字符的编码或转义：在输出到HTML时，对一些可能出现XSS的标签做编码或转义。在不同的场合分别使用HTMLENCODE或者JSENCODE。有时候需要分别使用这两个编码，比如在对付DOM XSS时。
• xss漏洞虽然复杂种类繁多，但是可以彻底解决。在不同场合使用不同方法，方法之间相互配合。
  

学习XSS中…有点飘

• 今天快速的看完了XSS的进攻内容。在昨天的内容后又讲了：XSS蠕虫，FalshXSS等更为厉害的攻击方式。
  在攻击中，攻击者需要得到可用的JS这就需要用到一些调试工具，比如：firebug等。还需要一些XSS构造技巧：利用字符编码可以逃过编码搜索，绕过长度限制，利用BASE标签（相对路径）等。
  一些成熟的JS开发框架也有XSS漏洞。DOJO，YUI,JQ都存在。
  明天开始看防御部分，后天可能会看一些视频。
  

今天开始学习XSS。

• 1.XSS：通过“HTML注入”篡改网页，插入恶意脚本，从而控制用户浏览器。根据效果分为：1.反射XSS（非持久）：把用户（往往是黑客）输入反射给浏览器 2.存储型xss（持久）：把用户输入的数据储存在服务器，等待其他用户（往往不知情）访问 3.DOM XSS（可以划分在1）：修改DOM（标签等）形成XSS。
• 2.XSS playload:低级cookike劫持，但是很容易防御，比如与客户端IP绑定。高级的有：get与post请求：得到想要的ID，钓鱼，识别浏览器：alter(navigator.userAgent)等，识别用户安装的软件：每个软件相对的ACTIVEX控件都有唯一ID、或者通过识别图标来确定，通过JAVAapplet接口获取本地IP。
  

一个温暖的深秋午后，心中亦充满着应景的希望。

¶“好奇心与求知欲是他们前进的动力” 希望我也是

“威胁分析的STRIDE原则:Spoofing(伪装),tampering(篡改),Repudiation(抵赖),Infor Disclosure(信息泄露),Denial of Service(拒绝服务),Elevation of Privilege(权限up)”
“风险评估的DREAD原则:Damage Potential(威胁等级),Reproducibility(多次性),Exploitability(开发性),Affected users(用户影响),Discoverability(可发现性).Value at Risk:12_15(high),811(mid),0~7(low)”
"安全方案的原则:Secure by Default(黑白名单)-方案的总则,Defense in Depth(纵深防御)-应该全面和根本地看问题,数据与代码分离-漏洞的本质原因,不可预测性(DEP的否认,ASLR的随机性,复杂的token值)-克服被攻击"
用没有银弹作题目真是太贴切了。

今日份的歌曲是:泡沫花火。 下一个季节将会到来。

这是第二次提交…刚刚用了一个非常可爱的颜文字（不是UTF-8里的编码）所以崩了，以后我一定会解决的！草！（以下为原内容）

今天弄了好久的主题美化，嗯…也看不出来，简单就好。添加了一个访客记录，偷看的话会被本小爷发现的哦！
明天开始记录学习，目标是成为小葱（的跟班）2333

emm…Today’s song is 记得 .Sweet past in heart ,but no future in eye.
Good night~

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.

¶Quick Start

¶Create a new post

1

$ hexo new "My New Post"

More info: Writing

¶Run server

1

$ hexo server

More info: Server

¶Generate static files

1

$ hexo generate

More info: Generating

¶Deploy to remote sites

1

$ hexo deploy

More info: Deployment