web安全
关注
分享
扫一扫
web安全
fabao007
这个作者很懒,什么都没留下…
展开
-
appscan 9.0.3.12 版本下载
9.0.3.12-安装版 18-Mar-2019http://download2.boulder.ibm.com/sar/CMA/RAA/085hp/0/9.0.3.12-AppScan_Setup.exe9.0.3.12-升级补丁 09-May-2019http://download2.boulder.ibm.com/sar/CMA/RAA/088w1/0/9.0.3.12...原创 2020-05-03 09:40:51 · 1181 阅读 · 2 评论 -
web安全--Flash跨域数据劫持漏洞
0×01,背景很多上传文件的后端逻辑在实现时,仅仅验证了文件后缀名和Content-Type,没有对上传文件的内容进行验证。通常情况下这样的处理逻辑仅仅是不严谨,不会造成太大的安全隐患。但经过笔者测试,发现object标签在包含flash文件时没有对嵌入的文件后缀进行判断。也就是说,只要文件内容包含了正常的flash文件代码,就能够被object标签成功加载并执行。而ActionScript中...转载 2020-05-03 06:13:24 · 1492 阅读 · 0 评论 -
web安全-AppScan自动化漏洞扫描工具
AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan...转载 2020-05-02 15:59:30 · 1291 阅读 · 0 评论 -
web安全--JSON 注入
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍...转载 2020-05-02 13:52:12 · 5152 阅读 · 2 评论 -
web安全--JSONP注入实践
JSONP注入实践Stbird专注于互联网信息安全的科技媒体http://www.mottoin.com1 人赞同了该文章原文链接:http://www.mottoin.com/95682.html---------------------------------------------------------------------------------------...转载 2020-05-02 13:34:09 · 630 阅读 · 0 评论 -
web安全--CSRF绕过
你们都知道CSRF是什么,如果不是的话,您就不会出现在我的博客上。今天,在本文中,我将解释对测试网站的CSRF保护的四个简单测试,这些测试可能会导致CSRF绕过,这反过来可以为您赚钱。1. 在帐户之间使用CSRF令牌最简单和最致命的CSRF绕过是当应用程序不验证CSRF令牌是否绑定到特定帐户而仅验证算法时。为了验证这一点从帐户A登录到应用程序转到其密码更改页面使用b...转载 2020-05-02 11:56:39 · 813 阅读 · 1 评论 -
web安全--Xml外部实体注入漏洞(XXE)与防护
Xml外部实体注入(XXE)除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示:DTD的作用是定义XML文档的合法构建模块,可以...转载 2020-05-02 11:49:35 · 1474 阅读 · 0 评论 -
web安全--xml注入
认识XML DTD XML注入 XPath注入 XSL和XSLT注入前言前段时间学习了.net,通过更改XML让连接数据库变得更方便,简单易懂,上手无压力,便对XML注入这块挺感兴趣的,刚好学校也开了XML课程,忍不住花时间研究了一下首先认识XMLXML有两个先驱——SGML(标准通用标记语言)和HTML(超文本标记语言),这两个语言都是非常成功的标记语言。SGML多用于科...转载 2020-05-02 11:41:15 · 299 阅读 · 0 评论 -
web安全--XML 注入的介绍与代码防御(转,挺不错)
0x01 介绍一些 Web 应用程序将 XML 文件用于各种用途,从配置到完整数据库功能。用户输入通常会传播到这些文件中,进而定制配置或更新应用程序数据库。如果在使用用户输入之前未清理或验证错误字符,那么这会成为安全隐患。当未采取任何预防措施时,恶意用户可以变更配置指令,添加新用户(如果用户列表通过 XML 文件进行维护),获取更高的特权等等。以下证明易受攻击的 J2EE 应用程...转载 2020-05-02 11:30:16 · 553 阅读 · 0 评论 -
web安全--CSRF攻击原理及防御方法
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存...转载 2020-05-02 11:16:15 · 298 阅读 · 0 评论 -
Web安全--点击劫持(ClickJacking)
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;iframe覆盖直接示例说明1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面:&...转载 2020-05-02 11:00:00 · 175 阅读 · 0 评论 -
web安全--点击劫持攻击与防御技术简介
引言:昨天搞google iframe时,接触到了点击劫持(clickjacking)的概念。以前看《图解HTTP》的时候也接触到了这个概念【大学时候还接触到SQL注入、XSS跨站脚本攻击(Cross Site Scripting),跨站请求伪造(Cross-site request forgery,简称CSRF或XSRF),服务器端请求伪造SSRF等相关概念】。今天查了相关资料,发现一篇好文章...转载 2020-05-02 10:34:05 · 706 阅读 · 0 评论