Web Scarab:获取网络数据包内容的工具,基于Java开发的工具下载地址:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/webscarab-installer-20070504-1631.jar/down...
分类:
Web程序 时间:
2015-04-01 19:03:03
阅读次数:
462
***General*************************************************************1、HttpSplitingstep1cn%0aContent-length:%200%0a%0aHTTP/1.1%20200%20OK%0aContent-Type:%20text/html%0aContent-length:30%0a<html>Haha</html>step2//添加Last-Modified头,设置服务..
分类:
Web程序 时间:
2015-03-30 18:57:59
阅读次数:
352
什么是格式化字符串攻击?format string attackhttps://www.owasp.org/index.php/Format_string_attack首先攻击发生在 格式化字符串所涉及的函数(例如 printf), 其次用户输入字符串提交后作为格式化字符串参数执行。攻击者可以执行代...
分类:
其他好文 时间:
2015-03-22 10:31:58
阅读次数:
208
本文为翻译版本,原文请查看 https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet介绍谈到XSS攻击,有三种公认的形式,Stored、 Reflected 和 DOM Based XSS。 XSS Prevention...
分类:
其他好文 时间:
2015-03-02 06:05:31
阅读次数:
391
本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet介绍本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御X...
分类:
其他好文 时间:
2015-02-28 06:39:33
阅读次数:
396
本文源自:https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting在原文理解上翻译为中文。背景本文描述多种不同类型的XSS攻击,和它们之间的相互关系。最早,有两种类型的XSS攻击被定义,Stored 和 Reflected , 在二零...
分类:
其他好文 时间:
2015-02-26 01:19:46
阅读次数:
288
本文源自 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29通过阅读和翻译,并按照自己的理解,整理成如下文档。概述XSS攻击是一种注入, 通过这种攻击,恶意脚本被注入到被信任的网站里。XSS攻击的表现是,攻击者使用web应用的...
分类:
其他好文 时间:
2015-02-25 01:50:47
阅读次数:
288
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Session_ID_Properties会话简介HTTP是一种无状态的协议,每一对请求和响应与其他的web交互是相互独立的,如果要跟踪用户的访问状态,就需要引入会话机制,对...
分类:
Web程序 时间:
2015-01-12 01:37:26
阅读次数:
305
实战部分:说明:这里我用的是OWASP的一个平台和DVWA下面简单说一下安装方法(windows下):先下载webscarab-current.zip(这个自带tomcat,还有一个下载方式是war文件,需要自己安装tomcat,建议使用第一个),地址为http://www.owasp.org/in...
分类:
其他好文 时间:
2015-01-06 22:55:22
阅读次数:
1146
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样...
