软件安全应用与分析
关注
分享
扫一扫
文章平均质量分 75
哪个小李
快来快来
展开
-
详细的X-Scan使用教程
可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。扫描结束后生成的报告文件名,保存在LOG目录下。原创 2022-12-13 16:56:21 · 4492 阅读 · 0 评论 -
简单实用的DVWA靶场的搭建教程
DVWA靶场搭建1.下载DVWA-master文件,将其放入phpstudy文件夹下的WWW文件夹内,如图:2.打开DVWA-master文件下的config文件夹,将config.inc.php.dist文件复制一份,并粘贴在当前文件夹下,将其文件名更改为config.inc.php后打开。3.打开后将user和password改为我们在phpstudy中数据库的用户名和密码。4.下一步,在ReCAPTCHA settings中更改recaptcha_public_key、recaptcha原创 2022-12-12 18:39:22 · 1452 阅读 · 1 评论 -
OWASP TOP 10 ( 2021 ) 的详细介绍
Top1-失效的访问控制1. 失效的访问控制的介绍 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf)。2. 失效的访问控制的攻击原理访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。3. 失效的访问控制的解决方法开发人员和QA人员应原创 2022-12-08 21:25:10 · 1385 阅读 · 0 评论 -
OWASP TOP 10 ( 2017 ) 的详细介绍
Top1-注入1.注入的介绍 当用户把数据传输到服务后端,然后后端将数据放到解释器中进行翻译的时候,就有可能出现注入漏洞,比如SQL注入、NoSQL注入、OS注入和LDAP注入。解释器可能将用户发送的数据翻译为命令/数据库查询,如此一来用户就可以在没有权限的情况下去查看不属于用户本身的数据,翻译的指令甚至有可能提权控制服务器。2.注入的类型SQL注入:SQL注入就是指Web应用程序对用户输入的数据的合法性没有进行判断,前端传入后端的参数使攻击者可控的,并且参数中带有数据库查询,攻击者可以通过构造原创 2022-12-02 23:30:54 · 1148 阅读 · 0 评论