OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专 ...
分类:
Web程序 时间:
2019-02-11 17:07:49
阅读次数:
666
http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf Ref:http://www.owasp.org.cn/owasp-project ...
分类:
Web程序 时间:
2019-02-03 18:14:22
阅读次数:
149
免责声明: 本文意在讨论使用工具来应对软件研发领域中,日益增长的安全性质量测试需求。本文涉及到的工具不可被用于攻击目的。 1. 安全性测试 前些天,一则12306用户账号泄露的新闻迅速发酵,引起了购票用户的一片恐慌。 且不论这次账号泄露的漏洞究竟是发生在哪里,网络安全性这个话题再次引起了我们的关注。 ...
分类:
Web程序 时间:
2019-01-05 20:04:25
阅读次数:
397
1、应用服务级别的安全考虑 引入web安全中的十大安全方向: OWASP: 开源web应用安全项目。Open Web Application Security Project 十大安全问题: SQL 注入、失效的身份认证和会话管理、跨站脚本(xss)、失效的访问控制、安全配置错误、 敏感信息泄露、攻 ...
分类:
移动开发 时间:
2018-12-04 15:35:12
阅读次数:
210
计算机程序主要就是输入数据 经过处理之后 输出结果,安全问题由此产生,凡是有输入的地方都可能带来安全风险。根据输入的数据类型,Web应用主要有数值型、字符型、文件型。 要消除风险就要对输入的数据进行检查,对于Web应用来说,检查的位置主要是前端和后端。前端检查只能防止正常状况,没法防止通过工具、程序 ...
分类:
Web程序 时间:
2018-12-03 12:51:08
阅读次数:
205
一. 什么是CSRF?CSRF(Cross-Site Request Forgery)直译的话就是跨站点请求伪造也就是说在用户会话下对某个需要验证的网络应用发送GET/POST请求——而这些请求是未经用户允许并且用户未必愿意做。 举例先:用户小a是某论坛的管理员,刚刚用他的用户名、密码登录了该论坛。 ...
分类:
Web程序 时间:
2018-11-05 17:24:00
阅读次数:
257
OWASP HTML Sanitizer 是一个简单快捷的java类库,主要用于放置XSS 优点如下: 1.使用简单。不需要繁琐的xml配置,只用在代码中少量的编码 2.由Mike Samuel(谷歌工程师)维护 3.通过了AntiSamy超过95%的UT覆盖 4.高性能,低内存消耗 5.是 Ant ...
分类:
编程语言 时间:
2018-10-31 18:27:30
阅读次数:
179
一、 工具集:Linux: Kali最新版(A/P:root/toor)、Windows7/10. 靶机:OWASP_BWA(A/P:root/owaspbwa)、DVWA、Mutillidae、Web for pentester、 ...
分类:
Web程序 时间:
2018-10-01 16:07:39
阅读次数:
200
一、说明 记得以前去面试技术也不太会但你总得讲点东西,让面试时间长一些让面试官觉得你基础还可以,当时选的就是名头比较大的OWASP TOP 10。TOP 10嘛你总得拿出至少三个点来讲的细一些以证明你是真的知道而不是背概念。 纵观TOP 10 注入和XSS是比较有把握的,其他什么“失效的认证和会话管 ...
分类:
其他好文 时间:
2018-09-05 17:29:34
阅读次数:
188
学习Web安全好几年了,接触最多的是Sql注入,一直最不熟悉的也是Sql注入。OWASP中,Sql注入危害绝对是Top1。花了一点时间研究了下Mysql类型的注入。 文章中的tips将会持续更新,先说说这些天研究的 这里博主以数字类型注入类型进行讲解,字符类型同理,这里不在敖述。 我们的环境:php ...
分类:
数据库 时间:
2018-08-23 21:00:02
阅读次数:
203