服务端模板注入 1、模板注入原理 和常见Web注入的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。 使用 Twi ...
分类:
其他好文 时间:
2016-04-27 22:31:25
阅读次数:
1750
转载:http://blog.csdn.net/yanbober/article/details/464175311 背景其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉。相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功...
分类:
移动开发 时间:
2016-01-16 12:06:11
阅读次数:
282
其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉。相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份。...
分类:
移动开发 时间:
2016-01-01 15:02:44
阅读次数:
206
一、漏洞描述和危害Redis因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,如果Redis以root身份运行,黑客可以给root...
分类:
其他好文 时间:
2015-12-16 22:51:43
阅读次数:
184
关于APP产品的一些安全测试点:安装包测试能否反编译代码一旦有源代码泄露公司的知识产权会受到影响,而且还有安全风险。测试中我们直接使用反编译工具查看源代码,看是否有敏感信息泄露,是否进行了代码混淆。(Android平台常用的反编译工具是的dex2jar和jd-gui)安装包是否有签名主要针对Andr...
分类:
移动开发 时间:
2015-08-06 12:31:57
阅读次数:
148
@author ASCE1885的 Github 简书 微博 CSDN
最近项目中需要实现自己的APK加固方案,因此就有了这一篇调研报告。
软件安全领域的攻防向来是道高一尺魔高一丈,攻防双方都处于不断的演变和进化过程中,因此软件加固技术需要长期持续的研究与投入。目前成熟的第三方解决方案1. 娜迦针对Android平台下的APP被逆向分析,破解,植入木马病毒后,用户敏感信息泄露或者被钓鱼网站劫...
分类:
移动开发 时间:
2015-07-23 23:49:03
阅读次数:
269
LDAP注入和SQL注入,原理上非常相似
但是LDAP往往包含很多的数据,相对来说,危害性更加大。2、一些案例这些案例不一定是LDAP造成的,但是性质基本上差不多
WooYun: 腾讯某服务配置不当内部海量敏感信息泄露!
http://www.wo...
分类:
其他好文 时间:
2015-03-11 12:56:52
阅读次数:
212
大家要学会保护好自己的个人隐私.(特别是现在伪基满天飞的年代.) 祝大家2015年马年新年快乐!
分类:
其他好文 时间:
2015-02-21 10:51:03
阅读次数:
320
Apache服务器状态监控模块开启默认是禁止外网访问,如果更改了权限,可能导致信息泄露ExtendedStatusOn<Location/server-status>SetHandlerserver-statusOrderdeny,allow#DenyfromallAllowfrom.example.com</Location>默认访问地址http://site/server-statusnginx..
分类:
Web程序 时间:
2014-08-11 15:20:53
阅读次数:
272
