跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代码注入的一种。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。 XSS攻击通常指的是通过利用网页开发时留...
10 KB (1,151 words) - 06:55, 16 May 2025
跨站请求伪造(英語:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨網站指令碼...
6 KB (922 words) - 05:59, 30 July 2024
網站可以通过相应的HTML标签访问不同來源網站上的图像、CSS和动态加载脚本等资源。而跨站请求伪造就是利用同源策略不适用于HTML标签的缺陷。 下表列出哪些URL與URL http://www.example.com/dir/page.html 屬於相同來源: 跨來源資源共享 跨網站指令碼 跨站请求伪造...
5 KB (434 words) - 01:35, 11 December 2024
舉例說,有一間公司的網頁伺服器上有一個簽名簿的程式碼,用來讓用戶發表簡短的口信,例如: Nice site! 不過,這個程式碼原來有跨網站指令碼漏洞。一個意圖入侵者得悉這間公司採用了有問題的程式碼,於是試圖透過留下一條附帶有程式碼的口信,例如: Nice Site, I think I'll...
18 KB (2,414 words) - 12:14, 2 November 2024
碼,以其经常让攻击者获得shell而得名。shellcode常常使用机器语言编写,由於現代電腦系統基本上啟用NX位元保護使得機械碼無法直接執行,可透過返回導向編程編寫shellcode。 可在暫存器eip溢出後,塞入一段可讓CPU執行的shellcode機械碼,讓電腦可以執行攻擊者的任意指令。...
1 KB (214 words) - 04:49, 17 July 2024
缓冲区溢出:在缓冲区寫入超過缓冲区大小的資料,因此覆蓋到其他的記億體。 跨網站指令碼:在網頁中注入惡意的程式碼,其他人閱讀網站時會受到影響。 目录遍历:利用程式的缺陷,可以存取授權目錄以外的目錄。 空字元注入 SQL注入:在輸入字串中架帶SQL指令,使程式執行這些SQL指令。 不受控格式化字串(英语:Uncontrolled...
2 KB (183 words) - 13:56, 21 December 2023
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這裡從網絡位址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是...
78 KB (8,912 words) - 14:11, 8 May 2025
School),一所位於香港將軍澳的學校 鐘聲學校﹙Chung Sing School﹚,一所位於香港元朗的學校 跨網站指令碼(Cross-site scripting),一种网站应用程序的安全漏洞攻击,现通用的缩写是XSS 美利堅邦联船舰(英语:Confederate States Ship)(Confederated...
1 KB (146 words) - 11:29, 4 May 2025
網站上使用相同的密碼 基本操作系统設計缺陷:操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用預設允許(英语:default permit)政策的作業系統,給每一個使用者和軟體完整的權限可以存取整台電腦。操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令 瀏覽網站;有些網站...
7 KB (766 words) - 23:50, 8 May 2025
MFA),又譯多因子認證、多因素驗證、多因素認證,是一種電腦存取控制的方法,用户要通過兩種以上的認證機制之後,才能得到授權,使用電腦資源。例如,使用者要輸入PIN碼,插入銀行卡,最後再經指紋比對,通過這三種認證方式,才能獲得授權。這種認證方式可以提高安全性。 多重要素验证的概念也广泛应用于计算机系统以外的各领域...
5 KB (535 words) - 08:12, 5 January 2025
目的的信任骗局,与传统「骗局」不同,它通常是更复杂的欺诈计划中的许多步骤之一。英美普通法系一般认為这行为侵犯隐私。 社会工程的一例是在大多数須登录的网站使用“忘记密码”功能。不安全的密码恢复系统可用来授予攻击者对用户账户的完全存取权,而原用户将不能再存取账户。...
9 KB (1,044 words) - 11:33, 2 November 2024
任意代码执行通常是通过控制正在运行的进程的指令或指针(例如跳转或分支)来实现的。指令和指针通常指向进程中将要执行的下一条指令。因此,对指令指针值的控制可以控制接下来执行哪条指令。为了执行任意代码,许多漏洞将代码注入到进程中(例如通过向进程发送输入,该输入存储在RAM中的输入缓冲区中)并使用漏洞更改指令...
5 KB (527 words) - 01:50, 7 October 2023
碼。 自動化工具。許多安全工具可以透過被包含在開發或測試環境中來實現自動化測試。其中的範例是被整合到程式碼編輯器或 CI/CD 平台中的自動化 DAST/SAST (動態應用程式安全測試/靜態應用程式安全測試)工具。 協作的漏洞平台。透過由許多網站...
10 KB (1,143 words) - 09:01, 16 June 2023
行動程式碼也能透過電子郵件方式自動下載並且在用戶端執行。行動程式碼透過電子郵件下載可能附件(例如,大總之檔案) 或者透過一個HTML電子郵件內容(例如JavaScript)。例如,ILOVEYOU、TRUELOVE和AnnaK電子郵件電腦病毒/蠕蟲病毒全部被作為行動程式碼...
3 KB (302 words) - 14:53, 5 February 2024
為密碼重覆使用。攻擊者成功竊取了一些敏感資料,像是認證道德駭客申請者的護照照片,其中也包括愛德華·斯諾登的照片。 EC-Council網站至少二次有出現跨網站指令碼的漏洞。在2011年6月有發現二個漏洞,都在portal的子網域。在2013年5月也發現另一個漏洞。 EC-Council to Increase...
8 KB (641 words) - 16:28, 6 February 2025
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
11 KB (1,629 words) - 22:44, 28 May 2025
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
3 KB (400 words) - 16:44, 2 March 2025
maximum of BUF_SIZE bytes strncpy(dst, user_input, BUF_SIZE); } 另一種作法是用malloc指令,在heap裡動態分配記憶體 char * secure_copy(char * src) { size_t len = strlen(src); char...
7 KB (929 words) - 11:30, 16 February 2025
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
1 KB (155 words) - 09:30, 12 June 2023
之前所有加密方案都是对称密钥加密(也称为私钥)。 加密可以用于保证安全性,但是其它一些技术在保障通信安全方面仍然是必须的,尤其是关于数据完整性和信息验证。例如,訊息鑒別碼(MAC)或者数字签名。 加密或软件编码隐匿(Code Obfuscation)同时也在软件版权保护中,用于对付反向工程,未授权的程序分析,破解和软...
8 KB (1,259 words) - 08:46, 23 December 2024
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
11 KB (1,483 words) - 08:12, 21 March 2025
、监控和阻斷通過網頁服务的HTTP流量。透過監察HTTP流量,它可以防止利用網頁应用程序已知漏洞的攻击,例如SQL 注入、跨網站脚本(XSS)、文件包含和不正确的系统配置。 網站应用程序防火墙在 1990 年代后期開始發展,当时伺服器攻击变得越来越普遍。 早期版本的 WAF 由Perfecto Technologies及其...
9 KB (994 words) - 02:10, 17 January 2024
其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。 通过在客户端安装NoScript或NoClickjack扩展等手段可以防止点击劫持的发生。 黑客 (电脑安全) 跨网站指令码 钓鱼式攻击 Robert McMillan. At...
3 KB (285 words) - 14:56, 12 January 2022
多型引擎(polymorphic engine)也稱為變體引擎(mutation engine),是指利用多型程式碼(英语:polymorphic code)修改通訊傳輸的資料,但仍維持其原有功能的軟體模組(軟體引擎)。 多型引擎絕大多數用在惡意程式裡,目的是避免防毒軟體的偵測。其作法可能是將惡意資料加密或是代码混淆。...
1 KB (123 words) - 06:38, 4 February 2025
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
4 KB (413 words) - 03:17, 14 January 2022
DAST工具可以建立有關安全漏洞的網頁應用程式自動化審核,這也是許多法規所要求的內容。網頁應用程式掃描器可以掃描許多的漏洞,像是輸入輸出資料驗證(跨網站指令碼及SQL注入)、特定的應用程式問題,或是伺服器組態的錯誤。 商用掃描器是需要付費購買的網頁評估工具,有些工具的部份功能免費,但完整功能版本仍要付費。...
7 KB (834 words) - 09:44, 5 July 2023
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
2 KB (199 words) - 04:27, 24 December 2023
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
1 KB (161 words) - 01:50, 7 October 2023
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
5 KB (579 words) - 01:50, 7 October 2023
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
4 KB (480 words) - 00:28, 11 April 2024
数字版权管理 威脅 廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門(英语:Hardware backdoors) 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取(英语:Data scraping) 阻斷服務攻擊 竊聽...
7 KB (1,017 words) - 23:43, 10 November 2023