web前端如果想实现cookie跨站点,跨浏览器,清除浏览器cookie该cookie也不会被删除这似乎有点难,下面的教程让你完全摆脱document.cookiesuperCookie.js:http://beta.tfxiq.com/superCookie.jsdemo:http://beta....
分类:
Web程序 时间:
2015-04-13 22:31:52
阅读次数:
267
1、在线检测网页恶意代码http://anubis.iseclab.orgAnubis 是一个工具,侧重于检查的恶意代码。执行Anubis后在生成的报告文件,其中包含足够的信息,使用户一个很好的印象的目的和所采取的行动分析二进制。生 成的报告,包括详细的数据作出的关于修改Windows注册表或文件系...
分类:
Web程序 时间:
2015-04-13 16:36:12
阅读次数:
557
——说明:下文是从其他地方看到的关于WEB安全测试所需的基础知识纲要,大家可以结合本版面的其他WEB安全测试帖子一起学习 第一章:B/S架构体系安全渗透测试基础 1、HTTP协议基本概念 (1)介绍HTTP标示URL (2)HTTP响应状态码 (3)HTTP协议传输内容 2、WEB应用...
分类:
Web程序 时间:
2015-04-10 19:41:29
阅读次数:
175
对客户端的认证(authentication) 首要的是考虑安全的等级,一但被攻破,会产生什么样的影响。是否能够接受。(Balance) 1) 通过Https协议发送user/password情报 (传输方式) 2)安全级别比较高的,采用客户端证...
分类:
Web程序 时间:
2015-04-10 18:13:57
阅读次数:
129
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。gitclonehttps://github.com/SpiderLabs/ModSecurity.git
cdModSecurity/
./autogen.sh
./configure--..
分类:
其他好文 时间:
2015-04-08 11:12:28
阅读次数:
173
环境:dvwa1.7数据库:mysql前置知识:sql语句(Clickme)在进行sql注入前,我们先熟悉熟悉select语句。一、打开我们的sql终端二、进入之后可以看到有mysql>我们输入sql语句,即可返回我们想要的结果,注意分号哟!我们使用的dvwa,在我们前几章设置的时候,会在数据库中生成..
分类:
Web程序 时间:
2015-04-01 20:21:16
阅读次数:
328
序说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题。那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下。旧方案公司的測试团队发现这个问题之后,就要求尽快的解决,在网上查了非常多相关的资料,也翻阅了基本安全方面的书,基于 ...
分类:
Web程序 时间:
2015-03-30 11:05:03
阅读次数:
1753
Web系统必须采取措施降低Web应用安全风险。 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。 2.对于每一个...
分类:
Web程序 时间:
2015-03-20 10:37:27
阅读次数:
181
常见验证码的弱点与验证码识别验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤毁于蚁穴,有些时候如果能绕过验证码,则可以把手动变为自动,对于Web安全检测有很大的帮助。全自动区分计算机和人类的图灵测试(英语:Completely ...
分类:
其他好文 时间:
2015-03-19 19:58:05
阅读次数:
224
java 并发编程登录环节的签名验证,以及http连接web安全机制 (数据加密压缩传输)websocket 剖析jdk 下面的 binzookeepergit 与 svnmaven 与 gradlenetty消息中间件(MQ)myCat
分类:
其他好文 时间:
2015-03-18 15:22:12
阅读次数:
116
