命令注入是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的,遵守对一切输入不可信任的原则,对输入进行严格的校验。 ...
分类:
Web程序 时间:
2018-02-24 22:03:01
阅读次数:
288
CSRF本质是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 ...
分类:
Web程序 时间:
2018-02-24 22:00:05
阅读次数:
185
在Web安全测试中,借助合适的工具,能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。 ...
分类:
Web程序 时间:
2018-02-24 21:58:57
阅读次数:
349
文件包含是指页面利用url去动态包含文件(include或require等),当文件名参数可控但又过滤不严的时候,就容易被利用,有效的方法就是采用白名单的方式。 ...
分类:
Web程序 时间:
2018-02-24 21:57:01
阅读次数:
291
要想深刻理解WEB安全漏洞,就必须在实战中学习和积累。在一切的开始,我们需要搭建好一个WEB渗透测试环境。 ...
分类:
Web程序 时间:
2018-02-24 21:56:27
阅读次数:
315
暴力破解的核心是“穷举法”,因此,采用token校验,限制登录错误次数,验证码校验都是有效的防止暴力破解的手段。 ...
分类:
Web程序 时间:
2018-02-24 21:55:21
阅读次数:
220
万丈高楼平地起,楼能盖多高,主要看地基打的好不好。学习任何知识都是一样的,打好基础是关键,通过本课的学习,你将了解一些常见的Web漏洞,以及这些漏洞的原理和危害,打好地基,为后面建设高楼大厦做好准备。 ...
分类:
Web程序 时间:
2018-02-24 21:52:17
阅读次数:
199
本课是基础中的基础,通俗易懂的讲解了Web的本质和Web开发的基础知识。对于Web小白,建议从头开始抓紧学习;对于已经有一定Web基础知识的同学,建议快速的过一遍,夯实基础。 ...
分类:
Web程序 时间:
2018-02-23 23:46:42
阅读次数:
312
这门课程比较适合与小白与刚入门的Web安全爱好者,起到提纲挈领,普及介绍的作用,如果你是已经入门且有一定经验的老手,那这门课对你用处不大。受限于课程时间,课程中对每一个知识点都只能点到即止,未能深入分析,需要自己在课后多钻研,多动手。 ...
分类:
Web程序 时间:
2018-02-17 21:44:03
阅读次数:
1095
