一、SQL注入 SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令 1、表单类注入 登录时SQL应该是这样: select * from user where username='chengzi' and password=md5( ...
分类:
其他好文 时间:
2018-09-15 13:47:51
阅读次数:
166
很多时候私人pc上为了减少登陆的麻烦,就跟会选择保存密码操作 我举例csdn登陆操作: 如果之前有登陆保存密码的操作,那么再次打开就是这样。 如果此时我们想知道登陆密码。非常的简单首先按下 F12 键,查找关键字 password 看到有一个type 字段,修改为:type=“text” 好了,此时 ...
分类:
其他好文 时间:
2018-09-14 17:27:29
阅读次数:
196
HTTP.sys 远程代码执行 测试类型: 基础结构测试 威胁分类: 操作系统命令 原因: 未安装第三方产品的最新补丁或最新修订程序 安全性风险: 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 技术描述: 通过 IIS 6 引入的 HTTP 协议堆栈 (HTTP.sys ...
分类:
Web程序 时间:
2018-09-06 19:48:34
阅读次数:
348
这些年我们发现越来越多的公司开始注重安全测试了,为什么?因为安全测试可以在某种程度上可以排查掉你项目的一些安全漏洞,这样你的系统上线后才会相对安全,才有可能尽量避免来自外部的攻击。每一年互联网都会发生一些重大的安全事件,而且每一次带来的后果也是很严重的,而这些教训恰恰都说明了安全测试的重要性。 那什 ...
分类:
数据库 时间:
2018-09-02 13:16:42
阅读次数:
200
BurpSuite 1.7.32 原版+注册机 下载 链接:https://pan.baidu.com/s/1LFpXn2ulTLlcYZHG5jEjyw 密码:mie3 注意无后门版文件完整性: burp-loader-keygen.jar MD5: A4A02E374695234412E2C66 ...
分类:
Web程序 时间:
2018-08-29 14:50:47
阅读次数:
342
以前安全测试最爱挖的就是任意用户密码重置,今天看了carry_your师傅在ichunqiu上的视频文字总结一下任意用户密码重置的10种姿势: 1,短信验证码可爆破; 视频案例中输入手机号码、图片验证码就可以获取短信验证码,并且新密码也是在一个页面中,但是输入短信验证码之后,后端有个请求会判断短信验 ...
分类:
其他好文 时间:
2018-08-07 15:18:42
阅读次数:
154
项目当中在进行安全测试的时候,遇到了xss的攻击,要求前端来做个防御,针对于遇到的xss攻击,做个总结 1.xss 存储型xss的攻击 前端只要在接收到后台数据的时候做个特殊字符的过滤,即可抵制攻击 注:以后慢慢进行更新………… ...
分类:
其他好文 时间:
2018-08-01 14:16:36
阅读次数:
142
安全测试 App测试方法总结 一、安全测试 1.软件权限 1)扣费风险:包括短信、拨打电话、连接网络等。 2)隐私泄露风险:包括访问手机信息、访问联系人信息等。 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息 ...
分类:
移动开发 时间:
2018-07-28 20:26:51
阅读次数:
187
很多时候私人pc上为了减少登陆的麻烦,就跟会选择保存密码操作 我举例csdn登陆操作: 如果之前有登陆保存密码的操作,那么再次打开就是这样。 如果此时我们想知道登陆密码。非常的简单首先按下 F12 键,查找关键字 password 看到有一个type 字段,修改为:type=“text” 好了,此时 ...
分类:
其他好文 时间:
2018-07-26 21:21:22
阅读次数:
178
最近进行三方安全测试,剩最后一个问题: 原因是我用360加固宝之后,又用了360Signer对apk进行二次签名,而360Signer是用v1方式对apk进行签名的,所以安全检测还是不通过。 下面给出自己百度出来的对360加固之后的apk进行v2二次签名的方法。(注意要用同一个keystore) ( ...
分类:
其他好文 时间:
2018-07-24 19:13:06
阅读次数:
785
