坑爹的服务商
话说昨天打开博客(确切的说是打不开),发现访问不了了(由于最近忙,前一段VPS故障,博客移回之前一直用的hostnine的虚拟主机),以为又是例行宕机,等了一段时间还是不行,查看邮件才发现已经宕机一天了(可见我最近有多忙,一天之前的邮件,硬是没看到)。
感觉事情不妙,立即去联系服务商,等了半个小时被告知,因为我的主域被Google查出有恶意软件(以前注册主机的时候使用的域名,由于h9后台cPanel不能随意更改主域,且主域是朋友公司的域名,就没去找客服更改)。纠结开始,把事情前因后果给客服讲完,客服还是不给我整好,非得让我清理网站上的恶意程序。无语扯了半天已经凌晨(谁叫老外那边是白天吶),困意来袭,睡了,打算今天继续解决,早上收到邮件居然说,之前给我的回复都是因为他们没搞清事情的原因,原来我原先所在服务器是xxx11,现在切换到xxx31了,他们还说之前有发邮件通告。 查看更多...
XSS攻击的原理
近来又在论坛看到有xss的通知,由于概念模糊,就扫下盲,顺便转些东西过来了。
概念说明
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。
比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。
诸如此类,唯一能完全杜绝xss攻击的方法,就是禁用script,img等,显然这是不靠谱的,用户需要丰富的页面内容;当然我们可以用一些方法预防xss攻击,尽量减少xss造成的危害。
XSS攻击的危害包括 查看更多...
