org.apache.commons.lang.StringEscapeUtils 进行输入框内容处理 [StringEscapeUtils.escapeSql(str);StringEscapeUtils.escapeHtml(str)] 1、跨站脚本攻击(Cross Site Scripting ...
分类:
Web程序 时间:
2016-12-16 09:53:21
阅读次数:
272
XSS现代WAF规则探测及绕过技术,测试XSS payload模版 ...
分类:
Web程序 时间:
2016-12-15 22:56:09
阅读次数:
469
0x00 索引说明 在OWASP的分享,关于业务安全的漏洞检测模型。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org ...
分类:
Web程序 时间:
2016-12-13 08:10:11
阅读次数:
358
CSRF漏洞防御主要可以从三个层面进行,即服务端的防御、用户端的防御和安全设备的防御。 ...
分类:
Web程序 时间:
2016-12-09 08:39:54
阅读次数:
207
CSRF攻击:攻击者构造合法的HTTP请求,随后利用用户的身份操作用户帐户的一种攻击方式。 ...
分类:
Web程序 时间:
2016-12-09 07:41:21
阅读次数:
219
业务逻辑问题是一种设计缺陷。逻辑缺陷表现为设计者或开发者在思考过程中做出的特殊假设存在明显或隐含的错误。精明的攻击者会特别注意目标应用程序采用的逻辑方式,设法了解设计者与开发者做出的可能假设,然后考虑如何攻破这些假设。黑客挖掘逻辑漏洞有两个重点,就是业务流程和HTTP/HTTPS请求篡改。 ...
分类:
Web程序 时间:
2016-12-09 07:34:34
阅读次数:
211
最近因为工作需要,整理了安全测试工具AppScan的一个教程。目录如下: 网上对于appscan的资料挺多,但是也很乱很杂。不利于系统的学习,这也是我为什么整理这样一份指导手册。 在这份手册里,主要包含以下问题: 如果对这个文档感兴趣,可以加一下我的公众号和QQ群,我会在上面持续分享一些软件测试方面 ...
分类:
Web程序 时间:
2016-11-29 07:04:07
阅读次数:
154
本文转载自 https://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript ...
分类:
Web程序 时间:
2016-11-28 15:19:39
阅读次数:
271
感谢某电商平台安全工程师feiyu跟我一起讨论这个漏洞的修复。以往在安全测试的过程中后台经常存在验证码不失效果造成的撞库问题,甚至在一些银行或者电商的登录与查存页面同样存在这个问题,一旦造成撞库无论对用户账号的安全性还是网站的负载都是巨大的挑战。其实造成问题的原因并不复杂,主要是研发在开发过程中缺少 ...
分类:
Web程序 时间:
2016-11-21 22:33:35
阅读次数:
253
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文介绍它的主要特点下: 1.Target(目标)——显示目 ...
分类:
Web程序 时间:
2016-11-18 18:13:00
阅读次数:
277
