一、背景介绍 随着网站业务的需求,web脚本可能允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。 二、漏洞成因 文件包含漏洞的产生原因是在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校 ...
分类:
其他好文 时间:
2016-08-31 14:01:44
阅读次数:
264
00x01 作者:墨 首发:I春秋 [-]CSRF是个什么鬼? |___简单的理解: | 攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 |___CSRF攻击原理: | 当我们打开或者登陆某个网站的时候,浏览器与网站所存放的服 ...
分类:
其他好文 时间:
2016-08-30 22:46:19
阅读次数:
481
PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。下面我们分析几个会引发安全问题的PHP配置,并给出建议的选项。1、 register_globals = OffPHP在进程启动 ...
分类:
Web程序 时间:
2016-08-23 15:02:32
阅读次数:
152
当下,黑客们最感兴趣的是窃取敏感数据,如公司机密、个人信息、知识产权,等等,当然,也有个别攻击者纯属搞破坏。近年发生的若干事件表明,网络间谍仍被认为是是政府部门和企业的最危险的威胁。高级持续性威胁(APT)仍在疯狂搜寻能够大规模利用的漏洞,其重要目的就是收集敏感信息。 最臭名昭著的黑客针对关键的基础 ...
分类:
其他好文 时间:
2016-08-21 18:16:21
阅读次数:
163
#1. 前言IOS平台APP安全风险相关的一般性Checklist,保障IOS客户端安全评估的质量与效率。#2. 数据安全##2.1 传输安全该类漏洞的审查场景:APP通过网络发送或接收敏感信息,比如用户口令、用户隐私信息等,或者通过网络下发的数据执行某些敏感操作**漏洞类型说明:**由于移动设备通 ...
分类:
移动开发 时间:
2016-08-18 21:04:45
阅读次数:
488
[-]CSRF是个什么鬼? |___简单的理解: | 攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 |___CSRF攻击原理: | 当我们打开或者登陆某个网站的时候,浏览器与网站所存放的服务器将会产生一个会话(cookies ...
分类:
其他好文 时间:
2016-08-07 16:52:54
阅读次数:
156
网站经常会用到一些验证码,主要目的是防止攻击者进行暴力破解或密码穷举等方面的攻击, 但有时候验证码的出现也会影响用户的浏览体验,解决方案就是设置一个抛错阀值,当有恶意用户 在尝试暴力破解或穷举的时候输错次数超过阀值,便触发验证码框的弹出,这样既可以阻止攻击者的 恶意行为又可以提高合法用户的浏览体验。 ...
分类:
其他好文 时间:
2016-08-05 17:44:42
阅读次数:
163
gitrob Ruby开发,支持通过postgresql数据库https://github.com/michenriksen/gitrobweakfilescan Python开发,多线程,猪猪侠开发中文注释,个性化定制,需要beautifulsoup4用于渗透人员在对网站进行网站渗透时查找敏感文件 ...
分类:
其他好文 时间:
2016-07-19 13:14:21
阅读次数:
266
一. WEB安全技术产生原因
早期:万维网(World Wide Web)仅有Web站点构成,这些站点基本上是包含静态文档的信息库。这种信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性。
如今:已与早期的万维网已经完全不同,Web上的大多数站点实际上是应用程序。他们功能强大,在服务器和浏览器之间进行双向信息传送。他们处理的许多信息属于私密和高度敏感信息。因此,安全问题至关重要,W...
分类:
Web程序 时间:
2016-07-14 15:37:36
阅读次数:
163
