最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中此篇文章是关于发现数据库错误模式问题的。下面就把这块东西分享出来。原创文章,转载请注明-----------------------------------------正题------------------------...
分类:
移动开发 时间:
2015-06-01 16:06:33
阅读次数:
97
其提供了与整合相关的API: SqlSessionFactoryBean --为整合应用提供SqlSession对象资源 MapperFactoryBean --根据指定的Mapper接口生成Bean实例 MapperScannerConfigurer --根据指定包批量扫描Mapper接口并生成实...
分类:
移动开发 时间:
2015-05-18 16:58:22
阅读次数:
232
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸....
分类:
移动开发 时间:
2015-04-19 10:03:39
阅读次数:
142
??
0x00 前言
每次漏洞爆发之后,很多人都在急着找批量,想着能多刷几个洞提交乌云上。其实有些漏洞的探测步骤很多时间是可以统一抽取做成框架的。今天我就分享一下自己写的一个漏洞批量利用的框架,运用这个框架,可以方便的进行一些漏洞的批量扫描。
0x01 框架的原理
漏洞的扫描一般都是URL链接挂载一个POC或者有人更狠直接上exp来尝试访问,如果服务器返回的页面中存在一些特征的字...
分类:
其他好文 时间:
2015-04-12 10:41:03
阅读次数:
137
最近对于系统使用Appscan扫描出中危漏洞“启用不安全的HTTP方法,找了很多修复方法都不能达到效果。漏洞截图:漏洞描述:危险级别中危险影响页面整个WEB页面。简短描述管理员在服务器安全配置上的疏忽,导致服务器上启用了不安全的HTTP方法。详细描述不安全的HTTP方法主要有PUT/DELETE/M...
分类:
移动开发 时间:
2015-01-23 22:49:36
阅读次数:
342
自动化批量扫描:http://blog.csdn.net/danqingdani/article/details/6366645 自动化批量扫描:http://bhyygvhic.blog.sohu.com/265096135.html...
分类:
Web程序 时间:
2014-12-16 19:36:16
阅读次数:
154
之前一直没关注过web应用登录密码加密的问题,这两天用appscan扫描应用,最严重的问题就是这个了,提示我明文发送密码。这个的确很不安全,以前也大概想过,但是没有具体研究过,都不了了之,这次借这个激活,终于搞定了这个问题。
首先,有不少帖子说在客户端用js对密码进行md5摘要,然后提交给登录处理的url。这种做法无非是自欺欺人,就算别人抓包抓不到你原始密码,用这个md5后的密码一样可以模拟登录...
分类:
编程语言 时间:
2014-11-26 16:43:56
阅读次数:
386
我们知道Acunetix WVS可以对网站进行安全性评估,那么怎么能批量扫描呢?游侠(www.youxia.org)在测试WVS 8 BETA2的时候发现WVS居然支持WEB管理,还是很方便的。 打开Acunetix WVS,点New Scan,在弹出来的界面可以看到有三个选项: 最下面一个:如.....
分类:
Web程序 时间:
2014-11-02 13:45:47
阅读次数:
281
实例讲解如何使用appscan实现多站扫描简单自动化
分类:
移动开发 时间:
2014-10-31 18:45:45
阅读次数:
283
appscan提供了计划扫描的选项,配合windows的计划任务,可以进行自动化定期安全测试
分类:
移动开发 时间:
2014-10-31 15:24:16
阅读次数:
210
