E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
owasp
通过DVWA学习SQL注入漏洞
此篇文章作为本人的学习小笔记,有任何不足之处望各位大牛多多指教~SQL注入漏洞作为
OWASP
TOP10中重要的一部分,可见其安全性的危害有多大。
Mi1k7ea
·
2017-02-21 12:25
DVWA
漏洞
渗透
Web安全
windows上编译
owasp
-webscarab
最近看一篇老文章,看到webscarab这个工具,去看编译好的https://sourceforge.net/projects/
owasp
/files/WebScarab/,最早也是07年的事了,因此决定重新编译下
招魂怪
·
2017-02-14 16:33
owasp
webscarab
2016
OWASP
Mobile TOP 10 中文版
M1-平台使用不当这个类别包括平台功能的滥用,或未能使用平台的安全控制。它可能包括Android的意图(intent)、平台权限、TouchID的误用、密钥链(KeyChain)、或是移动操作系统中的其他一些安全控制。有几种方式使移动应用程序能受到这类风险。M2-不安全的数据存储这个新的类别是《2014年版十大移动安全威胁》中M2和M4的组合。这个类别包括不安全的数据存储和非故意的数据泄漏。M3-
_Gintoki
·
2017-02-09 09:33
android
CSRF漏洞测试案例
测试网站:
owasp
bwa环境中的DVWA应用环境测试内容为CSRF漏洞如图所示:修改登陆密码的HTTP请求内容如下:GET/dvwa/vulnerabilities/csrf/?password_n
zhpfxl
·
2017-02-08 15:17
漏洞
CSRF
***技术
APP安全漏洞学习笔记
附录处整理了2014年和2015年的
OWASP
移动风险Top10.1.安卓APP安全的目标1.1保护用户的数据用户在使用APP时通常不得不交付一些敏感数据给APP,如文献[[1]][[2]]所介绍的用户输入隐私
Caaacy_YU
·
2016-12-28 21:16
Android安全
OWASP
ZAP上手体验
新领到一个任务,试下
OWASP
ZAP。工具说明ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具,可以检测sql注入,跨站脚本,跨站请求伪造以及路径遍历等问题。
chinajobs
·
2016-12-07 11:34
黑客
DVWA篇六:存储型XSS
1测试环境介绍测试环境为
OWASP
环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本***。
老鹰a
·
2016-11-30 16:41
存储
XSS
DVWA
安全技术
DVWA篇五:反射型XSS
1测试环境介绍测试环境为
OWASP
环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本***。
老鹰a
·
2016-11-30 16:17
XSS
DVWA
反射型
安全技术
DVWA篇二:命令注入
1测试环境介绍测试环境为
OWASP
环境中的DVWA模块2测试说明命令连接符:command1&&command2先执行command1后执行command2command1|command2只执行command2command1&
老鹰a
·
2016-11-30 11:23
DVWA
命令注入
owasp
安全技术
跨站点脚本攻击
跨站点脚本攻击的过滤pom.xml添加:org.
owasp
.antisamyantisamy1.4.4web.xml添加过滤:AntiSamyFiltercom.c2bcms.app.filter.AntiSamyFilterexcludedPages
FYWT98
·
2016-11-15 15:01
Kali Linux Web 渗透测试秘籍 第十章
OWASP
Top 10 的预防
第十章
OWASP
Top10的预防作者:GilbertoNajera-Gutierrez译者:飞龙协议:CCBY-NC-SA4.0简介每个渗透测试的目标都是识别应用、服务器或网络中的可能缺陷,它们能够让攻击者有机会获得敏感系统的信息或访问权限
ApacheCN_飞龙
·
2016-10-16 11:41
OWASP
测试指南 4.0-
OWASP
测试框架
本节主要介绍可用于组织或企业进行应用测试的典型的测试框架。它可以被看作是包含技术和任务的一个参考框架,适用于软件开发生命周期(SDLC)的各个阶段。公司和项目团队可以使用这个模式,为自己或服务供应商开发测试框架和范围测试。这个框架不应该被看作是指令性的,但作为一个灵活的做法,可以延长和变形,以适应一个组织的发展进程和文化。本节的目的是帮助组织或企业建立一个完整的战略测试过程,而不是帮助一些顾问或从
煜铭2011
·
2016-10-12 17:46
技术译文
信息安全理论
OWASP
测试指南 4.0-测试技术解释
该部分提出可用于创建测试工程的各类高级测试技术。这里针对这些技术的具体实现方法并没有进行详细讨论,详情可参见后文。该部分旨在为下个后文所提出的测试框架提供上下文并突出某些技术在选择使用时应考虑的优点以及缺点。特别包括:人工检查及复查软件威胁建模代码复查渗透测试0x01人工检查及复查人工检查是安全测试过程中,通过人工检查或者审核的方式对应用开发过程中的人,策略和进程,包括技术决策如开发模型设计进行安
煜铭2011
·
2016-10-12 12:20
技术译文
信息安全理论
OWASP
测试指南 4.0-测试原则
对于开发一个剔除软件安全漏洞的测试方法,存在一些常见的误解。本章所涉及一些基本原则,专业人士在进行软件安全漏洞测试时应加以考虑。0x01没有银弹(SilverBullet)当你试图思考安全扫描器或应用防火墙既不能提供各类攻击防御和辨别各类安全问题的时候,实际上不存在一下子就能解决不安全软件问题的方法。应用程序安全评估软件,只能作为发现伸手就能摘到的果实的第一张通行证,通常并不能充分覆盖到应用的各个
煜铭2011
·
2016-10-12 11:44
信息安全理论
OWASP
测试指南 4.0-
OWASP
测试项目
OWASP
测试项目已经发展了许多年。通过这个项目,我们希望帮助人们了解自己的Web应用程序,什么是测试,为什么要测试,什么时间,在哪里以及如何测试WEB应用程序。
煜铭2011
·
2016-10-12 11:31
技术译文
信息安全理论
OWASP
安全编码规范快速参考指南
0x00原则概览开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的保密性,完整性,和可用性,以确保业务的成功运作。该目标通过实施安全控制来实现。本指南重点介绍具体的技术控制,以缓解常见软件漏洞的发生。虽然主要的关注点是Web应用程序及其配套的基础设施,但是本指南的大部分内容可应用于任意软件部署平
煜铭2011
·
2016-10-09 20:46
技术译文
信息安全理论
OWASP
Top 10十大风险 – 10个最重大的Web应用风险与攻防
先来看几个出现安全问题的例子
OWASP
TOP10开发为什么要知道
OWASP
TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/
袁鸣凯
·
2016-09-18 14:55
安全
top10
owasp
top10
java安全
web安全
架构师之路
架构师修练之道
OWASP
Top 10十大风险 – 10个最重大的Web应用风险与攻防
先来看几个出现安全问题的例子
OWASP
TOP10开发为什么要知道
OWASP
TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/
lifetragedy
·
2016-09-18 14:00
安全
WEB安全
java安全
Top10
Top10
OWASP
ABP理论之CSRF
想要详细了解的可以查看百度CSRF,扩展阅读
OWASP
。
tkb至简
·
2016-09-17 23:00
选个“靶子”练练手:15个漏洞测试网站带你飞
这是
OWASP
的一个项目,不仅为教学提供了一
poclist
·
2016-09-16 19:26
web渗透
kali DirBuster暴力破解web目录
注入等方式得到网站的数据库时,由于后台一般是隐藏起来的,所以我们想要登陆后台的话,还是要手工或则以暴力破解的方式找到后台3、kaliDirBuster工具介绍(这个百度经验都有)以下为粘贴的:简介:DirBuster是
Owasp
天空里的飞鸟
·
2016-09-01 14:19
科研项目
存储型跨站脚本攻击
XSS跨站脚本攻击(CrossSiteScript,XSS),是最常见的Web应用应用程序安全漏洞之一,也是
OWASP
2013Top10之一。
河边一支柳
·
2016-08-10 22:18
软件安全
OWASP
Mutillidae的安装
OWASP
Mutillidae介绍
OWASP
(OpenWebApplicationSecurityProject)是一个开源的、非盈利性的全球性安全组织。
河边一支柳
·
2016-08-08 13:30
软件安全
OWASP
Mutillidae的安装
OWASP
Mutillidae介绍
OWASP
(OpenWebApplicationSecurityProject)是一个开源的、非盈利性的全球性安全组织。
河边一支柳
·
2016-08-08 13:30
软件安全
Nginx+Modsecurity实现WAF
ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击
OWASP
定格流年LB
·
2016-05-30 16:46
nginx
安全性
modsecurity
Nginx+Modsecurity实现WAF
是一个***探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***
OWASP
定格流年LB
·
2016-05-30 16:46
安全性
nginx
modsecurity
Web
JavaEE的十大安全控制
幸运的是,OpenWebApplicationSecurityProject(
OWASP
)公布了“10大最关键的web应用程序安全风险”的报告。本文将会介绍这些关键的风险如何应用于
煜铭2011
·
2016-05-26 22:41
渗透测试
JavaEE的十大安全控制
幸运的是,OpenWebApplicationSecurityProject(
OWASP
)公布了“10大最关键的web应用程序安全风险”的报告。本文将会介绍这些关键的风险如何应用
qq_29277155
·
2016-05-26 22:00
java
安全
工具
ee
靶机选择
靶机有几种:1winxp2win73Linux
owasp
4metasploitable毕竟理想的估计该是在win10下安装10大系统参考http://www.freebuf.com/sectool/4708
anzhuangguai
·
2016-05-08 10:00
Kali下载
www.offensive-security.com/kali-linux-vmware-virtualbox-image-download/Kali更新频率比较快metasploitable22012年出品,好长时间未更新,且只有vmware版本
owasp
anzhuangguai
·
2016-05-08 10:00
如何手工渗透测试Web应用程序(一):入门
在整个系列文章中,我将使用下面的程序: N
OWASP
Mutiliadae BURPProxyN
OWASP
MutiliadaeN
OWASP
Mutiliadae是一个包含了4
felix
·
2016-05-06 06:00
WEB安全
suite
渗透测试
burp
Mutiliadae
基于Antisamy项目实现防XSS攻击
为了解决上述问题,我们采用了
OWASP
的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
WeiJiaXiaoBao
·
2016-05-04 11:00
spring
Web
xss
CSRF
Spring MVC里面的预防 SQL 注入
xss关于xss的介绍可以看这个和这个网页,具体我就讲讲SpringMVC里面的预防:web.xml加上: defaultHtmlEscape trueForms加上: 更多信息查看
OWASP
的页面
Nio96
·
2016-03-18 17:00
LDAP注入与防御剖析
0x00前言前些日子笔者在看
OWASP
测试指南时看到了对LDAP注入攻击的介绍,对此产生了兴趣,可是上面谈论的东西太少,在网上经过一番搜索之后找到了构成本文主要来源的资料,整理出来分享给大家。
nana-li
·
2016-02-22 13:50
安全测试
Android应用安全开发之防范无意识的数据泄露
OWASP
移动安全漏洞Top10中第4个就是无意识的数据泄漏。当应用程序存储数据的位置本身是脆弱的时,就会造成无意识的数据泄漏。
yes_wentao
·
2016-02-11 15:00
数据
安全
存储
android应用
十大工具及应用策略搞定
OWASP
热门威胁
http://netsecurity.51cto.com/art/201103/252373.htm
fuchao1
·
2016-02-02 22:07
安全
OWASP
市面上的渗透工具
市面上现有的渗透测试工具本文介绍的渗透测试工具包括:Metasploit、Nessus安全漏洞扫描器、Nmap、BurpSuite、
OWASP
ZAP、SQLmap、KaliLinux和Jawfish(EvanSaez
hobowizard
·
2016-01-26 16:43
渗透工具介绍
业务安全漏洞挖掘归纳总结
0x00索引说明6.30在
OWASP
的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。
h4ck0ne
·
2016-01-23 17:43
十年未变!安全,谁之责?(上)
在
OWASP
(OpenWebApplicationSecurityProject)2015年的年报中,SQL注入和跨站点脚本再次被列入Top10软件隐患。
OneAPM蓝海讯通
·
2016-01-22 00:00
黑客
防火墙
软件安全
应用安全
Webrtc Jitter Buffer
AudioNetEQforVoiceAdynamicjitterbufferanderrorconcealmentalgorithmusedforconcealingthenegativeeffectsofnetworkjitterandpacketloss.Keepslatencyasl
owasp
ossiblewhilemaintainingthehighestvoicequality.Ne
fanbird2008
·
2016-01-14 16:00
plug-n-Hack和ZAP
OWASP
ZAP内置了能够改变火狐代理配置的plug-n-hack(pnh)协议,这使得
OWASP
ZAP能够监控火狐浏览器的流量。
pettergo00
·
2016-01-11 17:13
OWASP
ZAP
plug-n-hack
三位一体的漏洞分析方法-web应用安全测试方法
本文转自乌云知识库0x00前言节选自:http://www.
owasp
.org.cn/
OWASP
_Conference/
owasp
-20140924/02
OWASP
Web20140915.pdf4.1
anything good
·
2016-01-07 13:00
如何从代码层防御10大安全威胁中的 Xpath Injection?
普遍性和可检测性:Xpath注入是
OWASP
TOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
wangpeng198688
·
2016-01-05 17:00
漏洞
代码
前端
架构师
安全
如何从代码层防御10大安全威胁中的 Xpath Injection?
普遍性和可检测性:Xpath注入是
OWASP
TOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
wangpeng198688
·
2016-01-05 16:00
漏洞
前端
架构师
安全
如何从代码层防御10大安全威胁中的 Xpath Injection?
普遍性和可检测性:Xpath注入是
OWASP
TOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
吕龙涛
·
2016-01-05 14:00
OneRASP
OWASP
xpath注入
如何从代码层防御10大安全威胁中的 Xpath Injection?
普遍性和可检测性:Xpath注入是
OWASP
TOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
吕龙涛
·
2016-01-05 06:00
OWASP
xpath注入
OneRASP
如何从代码层防御10大安全威胁中的 Xpath Injection?
普遍性和可检测性:Xpath注入是
OWASP
TOP10安全威胁中A1Injection中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。
OneAPM蓝海讯通
·
2016-01-05 00:00
安全平台
架构师
前端
漏洞
code
web 安全相关(一):Log注入
在网上有很多关于安全的文章,但是
OWASP
开发指导 涵盖了几乎所有关于Web站点安全的东西。
明静
·
2015-12-10 15:00
Setting Django/MySQL site to use UTF-8 - Stack Overflow
SettingDjango/MySQLsitetouseUTF-8-StackOverflowAllIhadtod
owasp
utthisin settings.py:'OPTIONS':{'init_command
·
2015-12-09 11:50
overflow
OWASP
10 大 Web 安全问题在 JEE 体系完全失控
虽然,JavaEE内置了一些非常优秀的安全机制,但是它不能全面应对应用程序面临的各种威胁,尤其许多最常见的攻击:跨站攻击(XSS),SQL注入,Cross-SiteRequestForgery(CSRF),与XMLeXternalEntities(XXE)等。如果你不对系统做大量的安全测试、漏洞修补以及购买应用级安全防护工具,应用程序就完全暴露在这些攻击之下。幸运的是,开源Web应用安全组织(OW
ONEASP
·
2015-12-08 11:23
上一页
18
19
20
21
22
23
24
25
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他