cookie

Cookie的功能 Cookie是由服务器端生成，发送给User-Agent（一般是浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie）。Cookie名称和值可以由服务器端开发自己定义,这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等，服务器可以设置或读取Cookies中包含信息，借此维护用户跟服务器会话中的状态 直线电机品牌 Web 服务器可以通过 Cookie 包含的信息来筛选或者维护这些信息，以判断在 HTTP传输中的状态。 Cookie 常用于以下的3个方面： 记录访客的某些信息。如可以利用 Cookie 记录用户访问网页的次数，或者记录方可曾经输入过的信息。另外，某些网站可以使用 Cookie 自动记录访客上次登录的用户名。 在页面之间传递变量。浏览器并不会保存当前页面上的任何变量信息，当页面被关闭时页面上的所有变量信息将随之消失。如果用户声明一个变量 id=6，要把这个变量传递到另一个页面，可以把变量 id 以 Cookie 形式保存下来，然后在下一页通过读取该 Cookie 来获取该变量的值。 将所查看的 Internet 页存储在 Cookie 临时文件中，可以提高以后浏览的速度。 注意： 一般不要用 Cookie 保存数据集或其他大量的数据

16 信息指纹及其应用 网络爬虫在下载网页时，会将访问过的网址变成一个个信息指纹（固定的128位或64位二进制整数），存到散列表中，每当遇到一个新网址，计算机就计算其指纹，然后查找该指纹是否已在散列表中，来决定是否下载这个网页。这种整数的查找比原来的字符串（网址）查找快几十倍。这样就可以进一步节省存储空间和运算时间。 某个网址的信息指纹的计算方法：首先将这个字符串看成一个整数，然后用到一个产生信息指纹的关键算法：伪随机数产生器算法（PRNG），通过它将任意很长的整数转换成特定长度的伪随机数。 信息指纹的一个特征是其不可逆性，也就是说，无法根据信息指纹推出原有信息。比如说，一个网站可以根据用户本地客户端的cookie识别不同的用户，这个cookie就是一种信息指纹，但是网站无法根据信息指纹了解用户的身份，这样就可以保护用户的隐私。但是cookie本身并没有加密，因此通过分析cookie还是能指定某台计算机访问了哪些网站。为了保障信息安全，一些网站采用加密的HTTPS，用户访问这些网站留下的cookie本身也需要加密。 在互联网上加密使用基于加密的伪随机数产生器（CSPRNG），常用的算法有MD5和SHA-1（已被证明存在漏洞）等，它们可以将不定长的信息变成定长的128位或者160位二级制随机数。 信息指纹的用途 1.在网络爬虫中利用信息指纹可以快速而经济（节省服务器

应用安全 cookie 普通cookie 一般我们的用户表中都有啥呢 你在购物的时候,加入购物车,让你登录,那你登录之后,他怎么知道你登录了呢 token 这个值是随机的,存在 cookie 里面 设置 原型: 设置 cookie 的方法 def set_cookie ( self , name : str , value : Union [ str , bytes ] , domain : str = None , expires : Union [ float , Tuple , datetime . datetime ] = None , path : str = "/" , expires_days : int = None , ** kwargs : Any ) - > None : 参数 name:我们设置的 cookie 的名字 value:cookie的值 domain:提交 cookie 时匹配的域名,也就是哪个ip拿过来的 path:提交 cookie 时匹配的路径 expires:设置 cookie 的有效期,可以是时间磋整数,时间元组, datetime 类型,为UTC时间 expires_days:设置cookie的有效期(天数)但是他的优先级低于expires 实例: 原理 设置 cookie 实际上是通过设置 header 的 Set-Cookie

Django最强大的部分之一是自动管理界面。它从模型中读取元数据，以提供一个快速的，以模型为中心的界面，受信任的用户可以在其中管理您网站上的内容。管理员的建议用法仅限于组织的内部管理工具。它并非旨在构建您的整个前端。 Django Session 简单的cookie验证 敏感信息不宜使用cookie,我们应该用cookie记录简单配置. <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="https://code.jquery.com/jquery-3.4.1.min.js"></script> <script src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.min.js"></script> </head> <body> <form action="/" method="post"> <input type="text" name="username" /> <input type="button" value="获取cookie" id="get_cook"/> <input type="button" value="设置cookie" id="set_cook

1、模块说明 requests是使用Apache2 licensed 许可证的HTTP库。 用python编写。 比urllib2模块更简洁。 Request支持HTTP连接保持和连接池，支持使用cookie保持会话，支持文件上传，支持自动响应内容的编码，支持国际化的URL和POST数据自动编码。 在python内置模块的基础上进行了高度的封装，从而使得python进行网络请求时，变得人性化，使用Requests可以轻而易举的完成浏览器可有的任何操作。 现代，国际化，友好。 requests会自动实现持久连接keep-alive 2、基础入门 1）导入模块 import requests 2）发送请求的简洁 　　示例代码：获取一个网页（个人github） import requests r = requests.get('https://github.com/Ranxf') # 最基本的不带参数的get请求 r1 = requests.get(url='http://dict.baidu.com/s', params={'wd': 'python'}) # 带参数的get请求 我们就可以使用该方式使用以下各种方法 1 requests.get(‘https://github.com/timeline.json’) # GET请求 2 requests.post(“http:/

CSRF攻击 CSRF攻击概述 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞，从而被黑客攻击而使 Gmail 的用户造成巨大的损失。 CSRF攻击原理 网站是通过 cookie 来实现登录功能的。而 cookie 只要存在浏览器中，那么浏览器在访问这个 cookie 的服务器的时候，就会自动的携带 cookie 信息到服务器上去。那么这时候就存在一个漏洞了，如果你访问了一个别有用心或病毒网站，这个网站可以在网页源代码中插入js代码，使用js代码给其他服务器发送请求（比如ICBC的转账请求）。那么因为在发送请求的时候，浏览器会自动的把 cookie 发送给对应的服务器，这时候相应的服务器（比如ICBC网站），就不知道这个请求是伪造的，就被欺骗过去了。从而达到在用户不知情的情况下，给某个服务器发送了一个请求（比如转账）。 防御CSRF攻击 CSRF攻击的要点就是在向服务器发送请求的时候，相应的 cookie

安全 1，CSRF攻击 1，CSRF攻击概述 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞，从而被黑客攻击而使 Gmail 的用户造成巨大的损失。 2，CSRF攻击原理 网站是通过cookie来实现登录功能的。而cookie只要存在浏览器中，那么浏览器在访问这个cookie的服务器的时候，就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞了，如果你访问了一个别有用心或病毒网站，这个网站可以在网页源代码中插入js代码，使用js代码给其他服务器发送请求（比如ICBC的转账请求）。那么因为在发送请求的时候，浏览器会自动的把cookie发送给对应的服务器，这时候相应的服务器（比如ICBC网站），就不知道这个请求是伪造的，就被欺骗过去了。从而达到在用户不知情的情况下，给某个服务器发送了一个请求（比如转账）。 3，防御CSRF攻击 CSRF攻击的要点就是在向服务器发送请求的时候

1，xss简介 跨站脚本攻击 (Cross Site Scripting)，为了不和 层叠样式表 (Cascading Style Sheets, CSS )的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码， 当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 百度的解释如上 其实Xss几乎每个网站都存在，google、baidu、360等都存在。（近些年来少了一些），但仍有大部分的网站都存在该漏洞。 xss是一门又热门又不太受重视的Web攻击手法，为什么会这样呢，原因有下： 耗时间、有一定几率不成功 、 没有相应的软件来完成自动化攻击 、 是一种被动的攻击手法 等。 总的来说，xss的危害可大可小，这种被动的攻击方式，只要管理员留意，一般不会出现大的危害，可管理员一旦疏忽就很可能就会暴露自己的cookie以及后台账号密码等，导致信息泄露。 常出现xss漏洞的地址无外乎留言框，搜索框等可以提交用户数据的地方 2.xss如何实现 其实xss的实现就是执行非法的js语句，从而获取管理员的cookie 我们将xss分为两大类： 1，反射型 （这类xss是最常见的，通常发生在搜索框中，只能在提交后改变该用户的html源码，只能影响打开该页面的用户，无法使得网站的源码发生变化） 　 2，存储型

XSS 概念： 通常指黑客通过HTML注入纂改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。 XSS 有三种： 反射型xss：只是简单地把用户输入的数据反射给浏览器，简单来说，黑客往往需要用户诱使用户点击一个恶意链接，才能攻击成功。 存储型XSS：将用户输入的数据存储在服务器端。 DOM　XSS：通过修改页面的DOM节点形成的XSS。 反射型xss LOW 等级： 先利用alert测试是否存在xss 出现弹窗，说明存在xss。 编写PHP文档获取页面的cookie： <?php $cookie=$_GET[‘cookie’]; file_put_contents(‘cookie.txt’,$cookie); ?> 编写js代码将页面的cookie发送到cookie.php中 这里的js代码要用url编码 页面跳转，说明js执行成功 接下来查看phpstudy中www目录下是否出现cookie.txt 成功拿到cookie 利用得到的cookie登陆DVWA的首页： 成功登陆 Medium 等级： 同样，先利用alert进行弹窗测试 发现页面没有反应，有可能是<script>被过滤了，浏览器虽然会过滤<script>标签关键字，但是只过滤一次，所以可以想办法绕过。 （1）通过构造两个<script>标签，即嵌套： 出现弹窗，说明存xss (2)

XSS 【推荐书籍： XSS跨站脚本攻击剖析与防御 】 xss表示Cross Site Scripting(跨站脚本攻击) ，它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户浏览器的控制。 漏洞存在于服务器端，攻击对象为WEB客户端。 【 原理 ：为了使用户体验更好等因素，有部分代码会在浏览器中执行】 【 JavaScript详解 】:与java语言无关；命名完全出于市场原因，是使用最广的客户端脚本语言 使用场景 　　直接嵌入html：<script>alert('XSS')</script> 　　元素标签事件：<body onload=alert('XSS')> 　　图片标签：<img src="javascript:alert('xss');"> 　　其他标签：<iframe>,<div>,<link> 　　 DOM 对象【 文本对象模型 】，篡改页面内容 可实现攻击方式： 　　1、盗取cookie【若浏览器正在登录状态】 　　2、重定向到特定站点【可做钓鱼也页面】 常用的客户端脚本语言 ：JavaScript，VBScript，Activex，Flash XSS 　　攻击参与方 ：攻击者，被攻击者，漏洞站点，第三方站点（攻击目标/攻击参与站） 　 　漏洞形成根源