http://drops.wooyun.org/tips/9680x00 前言笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪。之前对WAF接触比较少纯粹是新手趁此科普了一下并查阅了一些绕过WAF的方法。所找到的资料中主要分为两类SQL注入和XSS绕过笔...
分类:
数据库 时间:
2015-07-08 10:53:57
阅读次数:
163
测试人员相对于开发人员来说,对知识的广度要求更高。1:下面所描述的属于安全漏洞方面的有哪些?()A.SQL注入问题B.跨站脚本(XSS)C.不安全的加密存储,比如CSDN网站的用户密码是明文密码D.网站访问缓慢2:关于Loadrunner下列说法正确的是()A.web_reg_save_param最常用來做关..
分类:
其他好文 时间:
2015-07-06 20:10:42
阅读次数:
172
测试人员相对于开发人员来说,对知识的广度要求更高。
1:下面所描述的属于安全漏洞方面的有哪些?()
A.SQL注入问题
B.跨站脚本(XSS)
C.不安全的加密存储,比如CSDN网站的用户密码是明文密码
D.网站访问缓慢
2:关于Loadrunner下列说法正确的是()
A.web_reg_save_param最常用來做关联的函数
B. 函数lr_save_...
分类:
其他好文 时间:
2015-07-06 14:16:04
阅读次数:
250
当页面输入框默认情况下输入“”的时候。按照访问策略,这将导致一些安全问题,诸如:跨站脚本攻击(cross-site scripting attack)。而这个问题的更准确描述则是,当你在安装了.NET Framework 4.0以上版本后,当你的应用程序以.NET Framework 4.0为框架版...
分类:
Web程序 时间:
2015-06-30 18:03:40
阅读次数:
158
为避免XSS(跨站脚本攻击),我们可对页面录入的数据,在持久化数据库前,将这些数据转义。import org.apache.commons.lang.StringEscapeUtils;来自为知笔记(Wiz)
分类:
其他好文 时间:
2015-06-29 16:22:38
阅读次数:
186
Security.class.php文件 1 ', '', 6 "'", '"', '&', '$', '#', 7 '{', '}', '[', ']', '=', 8 ';', '?', '%20', '%22', 9 '...
分类:
其他好文 时间:
2015-06-26 17:51:45
阅读次数:
200
CSRF攻击什么是cross-site request forgeryCross-site request forgery:跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XS...
分类:
其他好文 时间:
2015-06-26 12:28:11
阅读次数:
125
蛋疼的初始化过程 阶段构造 Swift 的构造过程分为两个阶段: 第一个阶段,每个存储型属性通过引入自己的构造器来设置初始值。 第二个阶段,在新实例准备使用之前进一步定制存储型属性。 安全检查 在构造的过程中,...
分类:
编程语言 时间:
2015-06-24 13:07:53
阅读次数:
158
1、sql注入
什么是sql注入?就是用户输入特殊字符改变原有sql的语义,这就叫sql注入。
我们看一下例子:
首先建立一个简单的user表模拟一下sql注入,如图所示
然后我们模拟一下用户登录:
$username = $_POST['username'];
$passwd = $_POST['passwd'];
$s...
分类:
其他好文 时间:
2015-06-23 18:01:14
阅读次数:
106
