OWASP

通过DVWA学习SQL注入漏洞

此篇文章作为本人的学习小笔记,有任何不足之处望各位大牛多多指教~SQL注入漏洞作为OWASPTOP10中重要的一部分,可见其安全性的危害有多大。
Mi1k7ea·2017-02-21 12:25

windows上编译owasp-webscarab

最近看一篇老文章,看到webscarab这个工具,去看编译好的https://sourceforge.net/projects/owasp/files/WebScarab/,最早也是07年的事了,因此决定重新编译下
招魂怪·2017-02-14 16:33

2016 OWASP Mobile TOP 10 中文版

M1-平台使用不当这个类别包括平台功能的滥用,或未能使用平台的安全控制。它可能包括Android的意图(intent)、平台权限、TouchID的误用、密钥链(KeyChain)、或是移动操作系统中的其他一些安全控制。有几种方式使移动应用程序能受到这类风险。M2-不安全的数据存储这个新的类别是《2014年版十大移动安全威胁》中M2和M4的组合。这个类别包括不安全的数据存储和非故意的数据泄漏。M3-
_Gintoki·2017-02-09 09:33

CSRF漏洞测试案例

测试网站:owaspbwa环境中的DVWA应用环境测试内容为CSRF漏洞如图所示:修改登陆密码的HTTP请求内容如下:GET/dvwa/vulnerabilities/csrf/?password_n
zhpfxl·2017-02-08 15:17

APP安全漏洞学习笔记

附录处整理了2014年和2015年的OWASP移动风险Top10.1.安卓APP安全的目标1.1保护用户的数据用户在使用APP时通常不得不交付一些敏感数据给APP,如文献[[1]][[2]]所介绍的用户输入隐私
Caaacy_YU·2016-12-28 21:16

OWASP ZAP上手体验

新领到一个任务,试下OWASPZAP。工具说明ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具,可以检测sql注入,跨站脚本,跨站请求伪造以及路径遍历等问题。
chinajobs·2016-12-07 11:34

DVWA篇六:存储型XSS

1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本***。
老鹰a·2016-11-30 16:41

DVWA篇五:反射型XSS

1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本***。
老鹰a·2016-11-30 16:17

DVWA篇二:命令注入

1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明命令连接符:command1&&command2先执行command1后执行command2command1|command2只执行command2command1&
老鹰a·2016-11-30 11:23

跨站点脚本攻击

跨站点脚本攻击的过滤pom.xml添加:org.owasp.antisamyantisamy1.4.4web.xml添加过滤:AntiSamyFiltercom.c2bcms.app.filter.AntiSamyFilterexcludedPages
FYWT98·2016-11-15 15:01

Kali Linux Web 渗透测试秘籍 第十章 OWASP Top 10 的预防

第十章OWASPTop10的预防作者:GilbertoNajera-Gutierrez译者:飞龙协议:CCBY-NC-SA4.0简介每个渗透测试的目标都是识别应用、服务器或网络中的可能缺陷,它们能够让攻击者有机会获得敏感系统的信息或访问权限
ApacheCN_飞龙·2016-10-16 11:41

OWASP 测试指南 4.0-OWASP测试框架

本节主要介绍可用于组织或企业进行应用测试的典型的测试框架。它可以被看作是包含技术和任务的一个参考框架,适用于软件开发生命周期(SDLC)的各个阶段。公司和项目团队可以使用这个模式,为自己或服务供应商开发测试框架和范围测试。这个框架不应该被看作是指令性的,但作为一个灵活的做法,可以延长和变形,以适应一个组织的发展进程和文化。本节的目的是帮助组织或企业建立一个完整的战略测试过程,而不是帮助一些顾问或从
煜铭2011·2016-10-12 17:46

OWASP 测试指南 4.0-测试技术解释

该部分提出可用于创建测试工程的各类高级测试技术。这里针对这些技术的具体实现方法并没有进行详细讨论,详情可参见后文。该部分旨在为下个后文所提出的测试框架提供上下文并突出某些技术在选择使用时应考虑的优点以及缺点。特别包括:人工检查及复查软件威胁建模代码复查渗透测试0x01人工检查及复查人工检查是安全测试过程中,通过人工检查或者审核的方式对应用开发过程中的人,策略和进程,包括技术决策如开发模型设计进行安
煜铭2011·2016-10-12 12:20

OWASP 测试指南 4.0-测试原则

对于开发一个剔除软件安全漏洞的测试方法,存在一些常见的误解。本章所涉及一些基本原则,专业人士在进行软件安全漏洞测试时应加以考虑。0x01没有银弹(SilverBullet)当你试图思考安全扫描器或应用防火墙既不能提供各类攻击防御和辨别各类安全问题的时候,实际上不存在一下子就能解决不安全软件问题的方法。应用程序安全评估软件,只能作为发现伸手就能摘到的果实的第一张通行证,通常并不能充分覆盖到应用的各个
煜铭2011·2016-10-12 11:44

OWASP 测试指南 4.0-OWASP 测试项目

OWASP测试项目已经发展了许多年。通过这个项目,我们希望帮助人们了解自己的Web应用程序,什么是测试,为什么要测试,什么时间,在哪里以及如何测试WEB应用程序。
煜铭2011·2016-10-12 11:31

OWASP安全编码规范快速参考指南

0x00原则概览开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的保密性,完整性,和可用性,以确保业务的成功运作。该目标通过实施安全控制来实现。本指南重点介绍具体的技术控制,以缓解常见软件漏洞的发生。虽然主要的关注点是Web应用程序及其配套的基础设施,但是本指南的大部分内容可应用于任意软件部署平
煜铭2011·2016-10-09 20:46

OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防

先来看几个出现安全问题的例子OWASPTOP10开发为什么要知道OWASPTOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/
袁鸣凯·2016-09-18 14:55

OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防

先来看几个出现安全问题的例子OWASPTOP10开发为什么要知道OWASPTOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/
lifetragedy·2016-09-18 14:00

ABP理论之CSRF

想要详细了解的可以查看百度CSRF,扩展阅读OWASP
tkb至简·2016-09-17 23:00

选个“靶子”练练手:15个漏洞测试网站带你飞

这是OWASP的一个项目,不仅为教学提供了一
poclist·2016-09-16 19:26

kali DirBuster暴力破解web目录

注入等方式得到网站的数据库时,由于后台一般是隐藏起来的,所以我们想要登陆后台的话,还是要手工或则以暴力破解的方式找到后台3、kaliDirBuster工具介绍(这个百度经验都有)以下为粘贴的:简介:DirBuster是Owasp
天空里的飞鸟·2016-09-01 14:19

存储型跨站脚本攻击

XSS跨站脚本攻击(CrossSiteScript,XSS),是最常见的Web应用应用程序安全漏洞之一,也是OWASP2013Top10之一。
河边一支柳·2016-08-10 22:18

OWASP Mutillidae的安装

OWASPMutillidae介绍OWASP(OpenWebApplicationSecurityProject)是一个开源的、非盈利性的全球性安全组织。
河边一支柳·2016-08-08 13:30

OWASP Mutillidae的安装

OWASPMutillidae介绍OWASP(OpenWebApplicationSecurityProject)是一个开源的、非盈利性的全球性安全组织。
河边一支柳·2016-08-08 13:30

Nginx+Modsecurity实现WAF

ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击OWASP
定格流年LB·2016-05-30 16:46

Nginx+Modsecurity实现WAF

是一个***探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***OWASP
定格流年LB·2016-05-30 16:46

JavaEE的十大安全控制

幸运的是,OpenWebApplicationSecurityProject(OWASP)公布了“10大最关键的web应用程序安全风险”的报告。本文将会介绍这些关键的风险如何应用于
煜铭2011·2016-05-26 22:41

JavaEE的十大安全控制

幸运的是,OpenWebApplicationSecurityProject(OWASP)公布了“10大最关键的web应用程序安全风险”的报告。本文将会介绍这些关键的风险如何应用
qq_29277155·2016-05-26 22:00

靶机选择

靶机有几种:1winxp2win73Linuxowasp4metasploitable毕竟理想的估计该是在win10下安装10大系统参考http://www.freebuf.com/sectool/4708
anzhuangguai·2016-05-08 10:00

Kali下载

www.offensive-security.com/kali-linux-vmware-virtualbox-image-download/Kali更新频率比较快metasploitable22012年出品,好长时间未更新,且只有vmware版本owasp
anzhuangguai·2016-05-08 10:00

如何手工渗透测试Web应用程序(一):入门

在整个系列文章中,我将使用下面的程序:   NOWASPMutiliadae   BURPProxyNOWASPMutiliadaeNOWASPMutiliadae是一个包含了4
felix·2016-05-06 06:00

基于Antisamy项目实现防XSS攻击

为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
WeiJiaXiaoBao·2016-05-04 11:00

Spring MVC里面的预防 SQL 注入

xss关于xss的介绍可以看这个和这个网页,具体我就讲讲SpringMVC里面的预防:web.xml加上:   defaultHtmlEscape   trueForms加上: 更多信息查看OWASP的页面
Nio96·2016-03-18 17:00

LDAP注入与防御剖析

0x00前言前些日子笔者在看OWASP测试指南时看到了对LDAP注入攻击的介绍,对此产生了兴趣,可是上面谈论的东西太少,在网上经过一番搜索之后找到了构成本文主要来源的资料,整理出来分享给大家。
nana-li·2016-02-22 13:50

Android应用安全开发之防范无意识的数据泄露

OWASP移动安全漏洞Top10中第4个就是无意识的数据泄漏。当应用程序存储数据的位置本身是脆弱的时,就会造成无意识的数据泄漏。
yes_wentao·2016-02-11 15:00

十大工具及应用策略搞定OWASP热门威胁

http://netsecurity.51cto.com/art/201103/252373.htm
fuchao1·2016-02-02 22:07

市面上的渗透工具

市面上现有的渗透测试工具本文介绍的渗透测试工具包括:Metasploit、Nessus安全漏洞扫描器、Nmap、BurpSuite、OWASPZAP、SQLmap、KaliLinux和Jawfish(EvanSaez
hobowizard·2016-01-26 16:43

业务安全漏洞挖掘归纳总结

0x00索引说明6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。
h4ck0ne·2016-01-23 17:43

十年未变!安全,谁之责?(上)

OWASP(OpenWebApplicationSecurityProject)2015年的年报中,SQL注入和跨站点脚本再次被列入Top10软件隐患。
OneAPM蓝海讯通·2016-01-22 00:00

Webrtc Jitter Buffer

AudioNetEQforVoiceAdynamicjitterbufferanderrorconcealmentalgorithmusedforconcealingthenegativeeffectsofnetworkjitterandpacketloss.Keepslatencyaslowaspossiblewhilemaintainingthehighestvoicequality.Ne
fanbird2008·2016-01-14 16:00

plug-n-Hack和ZAP

OWASPZAP内置了能够改变火狐代理配置的plug-n-hack(pnh)协议,这使得OWASPZAP能够监控火狐浏览器的流量。
pettergo00·2016-01-11 17:13

三位一体的漏洞分析方法-web应用安全测试方法

本文转自乌云知识库0x00前言节选自:http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/02OWASPWeb20140915.pdf4.1 
anything good·2016-01-07 13:00

如何从代码层防御10大安全威胁中的 Xpath Injection?

普遍性和可检测性:Xpath注入是OWASPTOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
wangpeng198688·2016-01-05 17:00

如何从代码层防御10大安全威胁中的 Xpath Injection?

普遍性和可检测性:Xpath注入是OWASPTOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
wangpeng198688·2016-01-05 16:00

如何从代码层防御10大安全威胁中的 Xpath Injection?

普遍性和可检测性:Xpath注入是OWASPTOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
吕龙涛·2016-01-05 14:00

如何从代码层防御10大安全威胁中的 Xpath Injection?

普遍性和可检测性:Xpath注入是OWASPTOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
吕龙涛·2016-01-05 06:00

如何从代码层防御10大安全威胁中的 Xpath Injection?

普遍性和可检测性:Xpath注入是OWASPTOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
OneAPM蓝海讯通·2016-01-05 00:00

web 安全相关(一):Log注入

在网上有很多关于安全的文章,但是 OWASP开发指导 涵盖了几乎所有关于Web站点安全的东西。
明静·2015-12-10 15:00

Setting Django/MySQL site to use UTF-8 - Stack Overflow

SettingDjango/MySQLsitetouseUTF-8-StackOverflowAllIhadtodowasputthisin settings.py:'OPTIONS':{'init_command
·2015-12-09 11:50

OWASP 10 大 Web 安全问题在 JEE 体系完全失控

虽然,JavaEE内置了一些非常优秀的安全机制,但是它不能全面应对应用程序面临的各种威胁,尤其许多最常见的攻击:跨站攻击(XSS),SQL注入,Cross-SiteRequestForgery(CSRF),与XMLeXternalEntities(XXE)等。如果你不对系统做大量的安全测试、漏洞修补以及购买应用级安全防护工具,应用程序就完全暴露在这些攻击之下。幸运的是,开源Web应用安全组织(OW
ONEASP·2015-12-08 11:23
上一页 18 19 20 21 22 23 24 25 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他