未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。 ...
分类:
Web程序 时间:
2018-02-24 23:05:06
阅读次数:
244
SQL盲注,与普通的SQL注入相比,数据库返回的结果不会显示在页面上,只会返回成功/失败或者真/假,这无形中加大了我们注入的难度。 ...
分类:
数据库 时间:
2018-02-24 23:02:37
阅读次数:
253
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 ...
分类:
数据库 时间:
2018-02-24 23:02:29
阅读次数:
281
由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过文件上传漏洞上传木马等操作,危害服务器的安全。对于这种漏洞,一是阻止非法文件上传,一是禁止其运行,例如通过文件重命名,压缩重生成,对存储目录执行权限控制,或者存储目录不放在web中等措施。 ...
分类:
Web程序 时间:
2018-02-24 23:01:17
阅读次数:
241
命令注入是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的,遵守对一切输入不可信任的原则,对输入进行严格的校验。 ...
分类:
Web程序 时间:
2018-02-24 22:03:01
阅读次数:
288
CSRF本质是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 ...
分类:
Web程序 时间:
2018-02-24 22:00:05
阅读次数:
185
在Web安全测试中,借助合适的工具,能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。 ...
分类:
Web程序 时间:
2018-02-24 21:58:57
阅读次数:
349
文件包含是指页面利用url去动态包含文件(include或require等),当文件名参数可控但又过滤不严的时候,就容易被利用,有效的方法就是采用白名单的方式。 ...
分类:
Web程序 时间:
2018-02-24 21:57:01
阅读次数:
291
要想深刻理解WEB安全漏洞,就必须在实战中学习和积累。在一切的开始,我们需要搭建好一个WEB渗透测试环境。 ...
分类:
Web程序 时间:
2018-02-24 21:56:27
阅读次数:
315
暴力破解的核心是“穷举法”,因此,采用token校验,限制登录错误次数,验证码校验都是有效的防止暴力破解的手段。 ...
分类:
Web程序 时间:
2018-02-24 21:55:21
阅读次数:
220
