OWASP

XSS漏洞概述

XSS漏洞概述XSS漏洞概述跨站脚本(CrossSiteScripting)攻击,一直是非常热门的WEB漏洞,在OWASP的TOP10里面排前三。
qq_35773551·2018-06-20 15:04

Web安全攻防靶场之WebGoat – 1

概述WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。
dc老师·2018-06-20 15:15

什么是Web应用防火墙

Web应用防火墙基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性
Grosso27·2018-06-12 15:12

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

前提:下载安装包,我已经放在了百度网盘中版本为windowsX642.7.0,有需要的可以去地址下载:https://pan.baidu.com/s/1S4yDP7aFiEzSO41c_817vQ由于ZAP工具是基于java的,所以电脑必须安装并配置jdk环境,我安装的是1.8.0;安装和使用:安装包是.exe的,一路Next即可,打开后样子如下:我是在本机搭建了测试环境,本机即站点,所以要设置浏
asdc11·2018-06-07 11:59

在线漏洞测试平台:OWASP Juice Shop

OWASPJuiceShop是一个由NodeJS编写的漏洞平台,共包含了47个漏洞挑战任务,是用来学习渗透测试一大利器。
Ambulong·2018-06-05 13:43

20155235 《网络攻防》 实验九 Web安全基础

20155235《网络攻防》实验九Web安全基础实验内容SQL注入攻击XSS攻击CSRF攻击WebGoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞
wyjingheng·2018-06-03 14:00

OWASP Top 10关键点记录

注入注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。注入类型SQL查询语句、LDAP查询语句、Xpath查询语句、OS命令、XML解释器、SMTP头注入等关键技术点SQL、存储过程、ORM、Hibernate、Mybatis、XML、L
FLy_鹏程万里·2018-05-31 15:17

Exp 9 Web安全基础

二.实验步骤1.WebGoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
20154315李惠航·2018-05-29 21:00

web应用防火墙逃逸技术(一) web应用防火墙逃逸技术(二)

waf-evasion-techniques-718026d693d8译文仅供参考,具体内容表达以及含义原文为准传送门:web应用防火墙逃逸技术(二)前记在Web应用程序中发现远程命令执行漏洞并不罕见,并且”注入”被公认为”2017OWASPTop1
qq_27446553·2018-05-22 13:36

URL跳转漏洞bypass小结

转自:https://landgrey.me/open-redirect-bypass/下面是owasp对URL跳转漏洞,也叫开放重定向漏洞(openredirect)的一段描述:Unvalidatedredirectsandforwardsarepossiblewhenawebapplicationacceptsuntrustedinputthatcouldcausethewebapplicat
fjb2080·2018-05-15 18:05

Web 应用漏洞扫描工具

W3AF是Wapiti是OWASPZedAttackProxyProject是OWASP支持的开源Web扫描器。
FANG._·2018-05-10 21:24

对WEB安全工程师的理解

按照web安全工程师的岗位职责分为了以下几个部分:1.熟悉Web常见的安全测试,如客户端的XSS,CSRF等,服务器端的SQL注入、上传文件漏洞等2.了解OWASPTOP10的常见风险,并且能够进行修复
云梦逸兮·2018-05-07 17:39

个人渗透测试流程

防御机制识别6.域名信息收集7.反向查询ip,子域名爆破,查找旁注目标第三阶段:危险建模1.分析可用的渗透代码和攻击载荷2.分析社会工程学对象第四阶段:漏洞分析1.web应用扫描器扫描(awvs、w3af、OWASP_ZPA
f1gure·2018-04-23 12:14

OWASP Juice Shop 一星难度 writeup

近日在OWASP官网发现了这个靶场,融入了OWASPTOP10的漏洞,感觉好像很好玩,花了好几天的时间自己快速地过了一遍。
neversec·2018-04-20 19:33

配置ModSecurity防火墙与OWASP规则

/art/201407/446264.htm英文原文参考:http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules
冷暖己知·2018-04-10 10:29

2017-OWASP Top10

①注入将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL、NoSQL、OS和LDAP注入的注入缺陷。***者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。②失效的身份认证通过错误使用应用程序的身份认证和会话管理功能,***者能破译密码、密钥或会话令牌,或者利用其他开发缺陷来暂时性或永久性冒充其他用户的身份。③敏感数据泄露许多Web应用程序和API都无法
CHENG791·2018-04-07 18:07

OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险

A1:2017-注入将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。A2:2017-失效的身份认证通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。A
lilongsy·2018-03-30 18:41

owasp top 10 渗透防御思路总结

*********************************WEBSERVER*********************************************一、文件上传漏洞(upload):../表示目录回退漏洞验证:防御:前端后台代码可以限制文件上传的后缀和大小,比如后台限制contenttype:plaint(mime)或后缀.txtcontentconposition(终极
peersli·2018-03-19 16:06

Kali Linux渗透测试 079 扫描工具-OWASP_ZAP

本文记录KaliLinux2018.1学习使用和渗透测试的详细过程,教程为安全牛课堂里的《KaliLinux渗透测试》课程KaliLinux渗透测试(苑房弘)博客记录OWASP_ZAP项目简介简单使用API
青蛙爱轮滑·2018-03-07 23:00

metasploit魔鬼训练营 环境搭建

BT510.10.10.128OWASP10.10.10.129WIN2K310.10.10.130ubuntu10.10.10.254(192.168.10.254)XP192.168.10.128《
打算大道·2018-03-03 20:20

安全测试基础-SQL注入详解

id=1and1=1这里我们来理解一下SQL注入首先,SQL注入常年蝉联OWASP排行榜第一名SQL注入产生的过程是怎样的呢?见下图SQL注入的危害有哪些?数据库信
飞天小子·2018-02-22 21:00

Clickjacking(点击劫持)

然后,打开webapps\ROOT\WEB-INF\web.xml添加以下过滤器:ClickjackFilterDenyorg.owasp.fil
Panisme·2018-02-12 17:00

开发更安全的安卓应用要注意哪些?

开放式Web应用安全项目(OWASP)[9,10]尝试着列举移动应用潜在的安全问题。
程序员之家v·2018-02-08 00:00

OWASP Nettacker ---- 自动渗透测试和信息收集工具

OWASPNettacker项目的创建是为了自动收集信息,漏洞扫描,并最终为网络生成报告,包括服务,错误,漏洞,错误配置和其他信息。
YnKhmIOU·2018-01-31 22:09

antisamy的策略文件使用详解

1前言Antisamy是OWASP(openwebapplicationsecurityproject)的一个开源项目,其能够对用户输入的html/css/javascript脚本进行过滤,确保输入满足规范
RayChiu_Labloy·2018-01-10 09:45

浅谈web项目越权风险问题

web越权访问越权访问(BrokenAccessControl,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
Downe·2017-12-17 20:54

XSS过滤绕过速查表

文章的初始内容是由RSnake提供给OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.h
ProjectDer·2017-12-16 22:42

XXE学习之路-STEP BY STEP

0×00背景近期看到OWASPTOP102017版中添加了XXE的内容便对XXE的一些知识进行梳理和总结,XXE可以使用例如http,file等协议,所以可以利用支持的协议进行内网探测和内网入侵,这部分的内容后续在
qq_27446553·2017-12-15 09:55

OWASP 2017 TOP 10

AndhowBIG-IPASMmitigatesthevulnerabilities.VulnerabilityBIG-IPASMControlsA1InjectionFlawsAttacksignaturesMetacharacterrestrictionsParametervaluelengthrestrictionsA2BrokenAuthenticationandSessionManage
Bruce_F5·2017-12-12 22:18

【安全牛学习笔记】OWASP_ZAP

OWASP_ZAPZedattackproxyWEBApplicaiton集成渗透测试和漏洞挖掘工具开源免费跨平台简单易用截断代理主动、被动扫描Fuzzy、暴力破解APIhttp://zap/DoyouwanttopersisttheZAPSessionYes
安全牛课堂·2017-12-04 18:52

OWASP Top10 2017发布,应用安全风险新增三名成员

OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web应用程序安全风险列表”,总结了Web应用程序最可能
悬镜AI安全·2017-12-04 14:23

Arduino NFC Waspmote LoRa P2P RPi DRAGINO

ArduinoRFID-RC522transmitUIDtoWaspmoteusingUART,thensendUIDtoRaspberryPiwithDRAGINOLoRashieldthroughLoRaP2P
HiroshiFuu·2017-11-20 00:00

《Metasploit 魔鬼训练营》04 Web 应用渗透测试

本文记录KaliLinux2017.1学习使用Metasploit的详细过程OWASPWeb漏洞TOP10基于Metasploit框架的Web应用渗透技术Web应用程序漏洞Sam探测Web应用程序渗透测试
青蛙爱轮滑·2017-11-07 11:12

黑无止境移动安全“漏洞”

我们看到国外安全发展的趋势,尤其是国际上比较知名的Owasp。从黑客攻击的角度去分析未来攻击主战场,因为硬应用大家通过查阅书籍、网上、社区搜集资料都可以进行多方面的避免。但是黑客攻击的时候,
imtik·2017-10-17 14:00

渗透工具汇总(持续更新)

这篇文章记录自己折腾渗透测试历程中用到的工具、靶机、渗透机的分类与汇总,希望对大家有所帮助1、渗透机说明KaliLinux2017  Windows72、靶机说明OWASP_BWA(DVWA、MutillidaeII
peersli·2017-10-13 00:00

【安全牛学习笔记】OWASP_ZAP

OWASP_ZAPZedattackproxyWEBApplicaiton集成渗透测试和漏洞挖掘工具开源免费跨平台简单易用截断代理主动、被动扫描Fuzzy、暴力破解APIhttp://zap/DoyouwanttopersisttheZAPSessionYes
安全牛课堂·2017-09-25 14:49

《Metasploit 魔鬼训练营》02 渗透测试实验环境

VmwareWorkstation)虚拟机镜像名称模拟主机类型域名区间网段IP地址KaliLinux2017.1初始攻击点主机attacker.dvssc.comDMZ区(NAT模式)10.10.10.128(static)OWASPBWA1.2
青蛙爱轮滑·2017-08-23 13:29

kali linux web渗透测试中用到的一些重要的工具

1.Mitmproxymitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试2.BP用的比较多,不加以描述3.Owasp-zapZedAttackProxy简写为ZAP,
TLXX1126·2017-07-13 16:07

XSS防御-使用AntiSamy

AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML/CSS/JavaScript等内容进行检验和清理,确保输入符合应用规范。
张张张小胜·2017-07-11 16:53

xss妙用,快速测试xss漏洞。

文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到我们这里,我们打算维护和完善它。
椰树ii·2017-05-24 11:39

20144306《网络对抗》Web安全基础实践

1实验内容SQL注入攻击XSS攻击CSRF攻击2实验过程记录2.1WebGoat说明与安装关于WebGoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞
ranransbean·2017-05-18 14:00

xss (跨站脚本攻击) 解决方案之 antisamy

http://netsecurity.51cto.com/art/201408/448305_all.htm:点击打开链接解决方案:引入开源antisamy框架解决过程:1.导入依赖maven依赖:org.owasp.antisamyantisamy1.5.3
Green_GLQ·2017-05-18 11:34

20145221高其_Web安全基础实践

WebGoatWebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EEWeb应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用
20145221高其·2017-05-11 21:00

安全测试学习准备工作

有计划慢慢熟悉安全测试相关的内容,了解OWASP的一些知识,今天做了如下尝试:1、选择漏洞学习的网站,用WebGoat,步骤非常简单确认本地已经安装了JAVA运行环境,java-version;下载WebGoat
ericzhangyuncsdn·2017-05-08 16:58

Ubuntu14.04下安装WebGoat

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
前方gail·2017-04-10 15:03

设计-RBAC数据库的设计与使用

文章-如何设计数据库表实现完整的RBAC(基于角色权限控制)【RBAC】打造Web权限控制系统推荐两个组件artesaos/defenderOWASP/rbac这种关系的讲解,推荐一篇文章--[文章2]
小龙123·2017-03-23 22:25

设计-RBAC数据库的设计与使用

文章-如何设计数据库表实现完整的RBAC(基于角色权限控制)【RBAC】打造Web权限控制系统推荐两个组件artesaos/defenderOWASP/rbac这种关系的讲解,推荐一篇文章--[文章2]
小龙123·2017-03-23 22:25

Attack(OWASP翻译1)

攻击活动SQL(结构化查询语言)注入概述一个SQL注入攻击包含了从应用客户端的输入数据中注入或嵌入的方式,一个成功的SQL注入利用可以从数据库读取敏感信息,修改数据库数据(Insert/Update/Delete语句),对数据库进行管理员权限操作(比如关闭数据库管理系统),恢复数据库管理系统上特定文件的内容,并在某些情况下向操作系统发出命令。SQL注入攻击是注入攻击的一种类型,在这种攻击中,SQL
夏夜星语·2017-03-16 16:08

信息安全相关资源

渗透测试资源MetasploitUnleashed链接地址-免费攻防安全metasploita课程PTES链接地址-渗透测试执行标准OWASP链接地址-开源Web应用安全项目Shellcode开发:ShellcodeTutorials
ssooking·2017-03-14 13:00

OWASP——简介及认识

前言因为本身是学习信息安全的,最近开始接触安全的各方面学习,而OWASP是网络web安全学习的一个重要内容,它不仅会提供一些安全工具也有对当下的主要安全威胁进行整理发布,而且这个组织本身是不盈利组织,这也是我今天写博文的原因
lin_not_for_codes·2017-02-25 16:37
上一页 17 18 19 20 21 22 23 24 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他