跨站脚本攻击(Cross-Site Scripting),是一种网站应用程序的安全漏洞,是代码注入攻击的一种。 XSS的种类: 反射型XSS: 非持久型XSS(需要自行触发,输入-输出)。 从目标服务器通过错误信息、搜索结果等等方式“反射”出来的。 非持久性:这种攻击方式往往只具有一次性。 方式:攻 ...
分类:
其他好文 时间:
2016-12-31 14:28:28
阅读次数:
168
2016重大事件:(在此将2016年的开发称为传统开发) 1、乌镇互联网大会大会(大数据&云计算) 2、某东struts2安全漏洞 3、作为一个程序呀对于淘宝双11和双12的分析应该是最好的案例 ●国家发展战略:大数据+云计算->强势兴起 产生: Java应该学什么? 全栈工程师的提出(以后的方向) ...
分类:
编程语言 时间:
2016-12-30 01:28:27
阅读次数:
226
一、前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞。如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程。 入门php代码审计实际并无什么门槛要求,只需要理解基础的php语法规则,以及理解各种类型漏洞的出现原因则可以开始尝试审计 ...
分类:
Web程序 时间:
2016-12-21 16:25:59
阅读次数:
252
0x00 索引说明 在OWASP的分享,关于业务安全的漏洞检测模型。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org ...
分类:
Web程序 时间:
2016-12-13 08:10:11
阅读次数:
358
0X01前言Intentschemeurl是一种用于在web页面中启动终端appactivity的特殊URL,在针对intentschemeURL攻击大爆发之前,很多android的浏览器都支持intentschemeurl。Intentschemeurl的引入虽然带来了一定的便捷性,但从另外一方面看,给恶意攻击页面通过intent-based攻击终端上..
分类:
移动开发 时间:
2016-12-13 00:20:09
阅读次数:
237
利用javaRMISERVER命令执行漏洞,获得目标主机root权限。JavaRMIServer的RMI注册表和RMI激活服务的默认配置存在安全漏洞,可被利用导致代码执行。一、利用nmap工具扫描目标主机1.1使用nmap命令对目标主机进行扫描。单击桌面空白处,右键菜单选择“在终端中打开”。1.2在终端中..
分类:
编程语言 时间:
2016-12-10 23:10:48
阅读次数:
583
###**Statement安全漏洞(sql注入问题)****产生原因:**因为SQL语句拼接,传入了SQL语句的关键字,绕过了安全检查.客户端利用JDBC-【Statement】的缺点,传入非法的参数,从而让JDBC返回不合法的值,我们将这种情况下,统称为SQL注入。**解决方案:**使用Prep ...
分类:
数据库 时间:
2016-12-02 13:42:27
阅读次数:
255
Dropbear是一个相对较小的SSH服务器和客户端。是另一款ssh协议的开源实现;主要功能:类似于OpenSSH,实现完整的SSH客户端和服务器版本2协议。但它不支持SSH版本1,以节省空间和资源,并避免在SSH版本1的固有的安全漏洞。支持scp。安装环境:1、CentOS7.2:[root@CentOS7~]#cat..
分类:
其他好文 时间:
2016-12-01 22:45:47
阅读次数:
430
抵御 SYN 攻击 SYN 攻击利用了 TCP/IP 连接建立机制中的安全漏洞。要实施 SYN 洪水攻击,攻击者会使用程序发送大量 TCP SYN 请求来填满服务器上的挂起连接队列。这会禁止其他用户建立网络连接。 SYN 攻击利用了 TCP/IP 连接建立机制中的安全漏洞。要实施 SYN 洪水攻击, ...
公司在i春秋上面报的一个课程。http://www.ichunqiu.com/course/55885,视频学习。 OWASP攻击类型排名 www.wooyun.com 中报的漏洞,大多是注入。 ...
分类:
Web程序 时间:
2016-11-28 17:22:38
阅读次数:
164
