1测试环境介绍1、使用Burpsuit工具进行暴力破解2、测试环境为OWASP环境中的DVWA模块2测试步骤2.1设置浏览器代理首先运行Burpsuit工具,设置监听地址和端口,然后在浏览器里面设置好代理IP和地址。如下图:2.2抓取登陆页面数据开启Burpsuit拦截功能,抓取登陆页面登陆账号和密码..
分类:
其他好文 时间:
2016-11-30 04:27:21
阅读次数:
381
公司在i春秋上面报的一个课程。http://www.ichunqiu.com/course/55885,视频学习。 OWASP攻击类型排名 www.wooyun.com 中报的漏洞,大多是注入。 ...
分类:
Web程序 时间:
2016-11-28 17:22:38
阅读次数:
164
PhishTank 是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志愿者提供,且更新频繁。 1、XSS 1.1、 XSS简介 跨站脚本攻击,英文全称是Cross Site Script,本来缩写是CSS,但是为了和层叠样式表有所区分,所以在安全领域叫做“XSS”。 XSS攻击,通 ...
分类:
Web程序 时间:
2016-11-18 23:06:55
阅读次数:
498
测试方法 1、Web应用安全测试 1.1、 Web应用安全测试概述 Web应用安全测试只侧重于评估Web应用的安全性。这个过程包括主动分析应用程序的所有弱点、技术缺陷和漏洞。任何被发现的安全问题连同影响评估、缓解建议或者技术方案一起提交给系统所有者。 1.2、 什么是OWASP测试方法 测试模型 测 ...
分类:
其他好文 时间:
2016-11-18 23:06:37
阅读次数:
289
1、下载OWASP的ModSecurity规则 2、在Apache中启用规则 末尾添加 3、创建白名单 4、自定义规则 此处可以自己写一些规则或者移除一些规则。 IP白名单 规则白名单 目录规则白名单 或者 5、常见问题 本地测试时,如果启用全策略,访问web目录时。 Forbidden You d ...
分类:
Web程序 时间:
2016-11-03 11:31:45
阅读次数:
2649
互联网的发展已经迈入了“万物互联”时代。移动设备作为人、物连接的主要入口,让人们享受高效、便利的“互联生活”的同时,也给用户的安全和隐私带来了前所未有的挑战。正是在这样的背景下,移动互联网安全技术国家工程实验室携手SecZone,并联合OWASP中国、ASC应用安全联盟、CSA云安全联盟特别组织策划... ...
分类:
移动开发 时间:
2016-10-13 19:09:38
阅读次数:
230
Cross-Site Request Forgery(CSRF),中文一般译作跨站点 请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSR ...
分类:
其他好文 时间:
2016-09-08 12:48:51
阅读次数:
150
从OWASP的官网意译过来,加上自己的理解,算是比较全面的介绍。有兴趣的可私下交流。 ...
分类:
其他好文 时间:
2016-09-06 13:36:32
阅读次数:
365
1.下载webscarab 下载地址:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/ 2.安装webscarab 安装命令: 3.firefox代理设置 进入选项 > 高级 > 设置。 4.启动webscara ...
分类:
Web程序 时间:
2016-09-01 16:13:45
阅读次数:
233
1 前言近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open We ...
分类:
其他好文 时间:
2016-09-01 09:25:39
阅读次数:
198
