CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
Web程序 时间:
2018-09-10 15:40:38
阅读次数:
214
常见Web安全漏洞 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>windo ...
分类:
其他好文 时间:
2018-09-08 12:24:34
阅读次数:
152
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(``块内容, ...
分类:
Web程序 时间:
2018-09-06 23:57:11
阅读次数:
4187
HTTP.sys 远程代码执行 测试类型: 基础结构测试 威胁分类: 操作系统命令 原因: 未安装第三方产品的最新补丁或最新修订程序 安全性风险: 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 技术描述: 通过 IIS 6 引入的 HTTP 协议堆栈 (HTTP.sys ...
分类:
Web程序 时间:
2018-09-06 19:48:34
阅读次数:
348
在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧 文章来源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有点问题~ 大家早上好!今天由我给大家带来《web安全之SQL注入篇》系列晨讲,首先对课程进行简单介绍,S ...
分类:
数据库 时间:
2018-09-06 03:01:51
阅读次数:
307
前言 《Web安全实战》系列集合了WEB类常见的各种漏洞,笔者根据自己在Web安全领域中学习和工作的经验,对漏洞原理和漏洞利用面进行了总结分析,致力于漏洞准确性、丰富性,希望对WEB安全工作者、WEB安全学习者能有所帮助,减少获取知识的时间成本。 0×01 文件包含简介 服务器执行PHP文件时,可以 ...
分类:
其他好文 时间:
2018-09-06 02:38:00
阅读次数:
198
"理解OAuth 2.0" "OAuth2.0认证缺陷 第三方帐号快捷登录授权劫持漏洞" "从“黑掉GITHUB”学WEB安全开发" "OAuth 2.0攻击方法及案例总结" "Oauth2.0详解及安全使用" "OAuth授权的XSRF漏洞及其修复" "针对近期“博全球眼球OAuth漏洞”的分析与 ...
分类:
其他好文 时间:
2018-08-30 23:30:58
阅读次数:
162
BurpSuite 1.7.32 原版+注册机 下载 链接:https://pan.baidu.com/s/1LFpXn2ulTLlcYZHG5jEjyw 密码:mie3 注意无后门版文件完整性: burp-loader-keygen.jar MD5: A4A02E374695234412E2C66 ...
分类:
Web程序 时间:
2018-08-29 14:50:47
阅读次数:
342
访问控制的含义: 在互联网安全领域,尤其是web安全领域中,“权限控制”的问题可以归结为“访问控制”。 访问控制广泛应用于各个系统中。抽象地说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。 在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体 ...
分类:
其他好文 时间:
2018-08-24 02:11:24
阅读次数:
223
学习Web安全好几年了,接触最多的是Sql注入,一直最不熟悉的也是Sql注入。OWASP中,Sql注入危害绝对是Top1。花了一点时间研究了下Mysql类型的注入。 文章中的tips将会持续更新,先说说这些天研究的 这里博主以数字类型注入类型进行讲解,字符类型同理,这里不在敖述。 我们的环境:php ...
分类:
数据库 时间:
2018-08-23 21:00:02
阅读次数:
203
