1.安全配置错误 安全配置错误可以发生在一个应用程序堆栈的任何层面,包括平台、Web服务器、应用服务器、数据库、框架和自定义代码。 开发人员和系统管理员需共同努力,以确保整个堆栈的正确配置。自动扫描器可用于检测未安装的补丁、错误的配置、默认帐户 的使用、不必要的服务等。 2.攻击案例 案例#1:应用 ...
分类:
Web程序 时间:
2017-01-21 13:58:24
阅读次数:
336
工具下载: 1、安装java环境:http://www.cnblogs.com/CyLee/p/6264361.html 1.下载webscarab 下载地址:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/ 2 ...
分类:
Web程序 时间:
2017-01-13 07:44:06
阅读次数:
176
作者:天谕链接:https://zhuanlan.zhihu.com/p/21380662来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。刚好这两天对之前github上关注的一些比较有意思的项目进行了一下分类整理,在这里列出来分享给大家,希望能对大家寻找工具或者资源有所 ...
分类:
其他好文 时间:
2017-01-01 21:39:51
阅读次数:
431
0x00 索引说明 在OWASP的分享,关于业务安全的漏洞检测模型。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org ...
分类:
Web程序 时间:
2016-12-13 08:10:11
阅读次数:
358
1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航..
分类:
其他好文 时间:
2016-11-30 23:42:34
阅读次数:
360
1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明命令连接符:command1&&command2先执行command1后执行command2command1|command2只执行command2command1&command2先执行command2后执行command1以上三种连接符在windows和linux环境下都支持如果程序没有进行..
分类:
其他好文 时间:
2016-11-30 17:53:38
阅读次数:
257
1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本3测试步骤上..
分类:
Web程序 时间:
2016-11-30 17:53:14
阅读次数:
256
1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明2.1什么时远程文件包含漏洞什么才是"远程文件包含漏洞"?回答是:服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶..
分类:
其他好文 时间:
2016-11-30 17:41:56
阅读次数:
2779
1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航..
分类:
其他好文 时间:
2016-11-30 17:34:01
阅读次数:
177
1测试环境介绍1、使用Burpsuit工具进行暴力破解2、测试环境为OWASP环境中的DVWA模块2测试步骤2.1设置浏览器代理首先运行Burpsuit工具,设置监听地址和端口,然后在浏览器里面设置好代理IP和地址。如下图:2.2抓取登陆页面数据开启Burpsuit拦截功能,抓取登陆页面登陆账号和密码..
分类:
其他好文 时间:
2016-11-30 04:27:53
阅读次数:
223