web安全漏洞

【附下载】漏洞扫描工具AppScan安装及功能简单使用

其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web
·2022-07-21 09:08

Web安全漏洞介绍及防御-文件上传漏洞

博客主页:举杯同庆–生命不息,折腾不止订阅专栏:『Web安全』如觉得博主文章写的不错,或对你有所帮助的话,请多多支持呀!关注✨、点赞、收藏、评论。话题讨论中国经济周刊-2022-07-08新闻万豪国际集团证实了近期一起数据泄露事件,一个月前黑客进入了马里兰州一家万豪酒店的服务器,在获得约20GB数据后试图敲诈万豪,但万豪拒绝付款。被泄漏的数据包括客人的信用卡信息及客人和员工的机密信息对此,网友们怎
举杯同庆·2022-07-14 14:08

常见Web安全漏洞--------sql注入

SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。在mybatis中比较容易出现:${}会发生sql注入问题#{}:解析为一个JDBC预编译语句(preparedstatement)的参数标记符,一个#{}被解析为一个参数占位符,可以防止SQL注入问题。${}:仅仅为一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。转载于:https://ww
weixin_30535913·2022-07-02 11:08

信息系统安全与对抗实践 学习笔记(2):Web安全漏洞

1.因输出值转义不完全引发的安全漏洞跨站脚本攻击(Cross-Sitescripting,XSS)—指在浏览存在安全漏洞的web网站的用户的浏览器内,运行非法的HTML标签或JavaScrip代码的一种攻击。动态创建的HTML部分有可能隐藏着安全漏洞,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,就会受到被动攻击。—造成的危害·利用虚假输入表单骗取用户个人信息·利用脚本窃取用户的cookie
jduyou·2022-03-09 05:18

2022 Docker安装AWVS

Windows安装Docker与AWVS工具AWVS功能介绍1.WebScanner:核心功能,web安全漏洞扫描(深度,宽度,限制20个)2.SiteCrawler:爬虫功能,遍历站点目录结构深度3.
Stars-Again·2022-03-07 15:26

.Net Core 项目中添加统一的XSS攻击防御过滤器

项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击.二、XSS简介XSS攻击全称为跨站脚本攻击(Cross-siteScripting),XSS是一种常见的web
小智DotNet·2022-02-17 23:31

5大常见的Web安全漏洞及测试方法归纳!

一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。一、安全测试6项基本原则:认证:对认证的用户的请求返回访问控制:对未认证的用户的权限控制和数据保护完整性:用户必须准确的收到服务器发送的信息机密性:信息必须准确的传递给预期的用户可靠性:失败的频率是多少?网络
爱吃草的猫_4551·2022-02-16 05:12

SameSite 那些事

在《Web安全漏洞之CSRF》中我们了解到,CSRF的本质实际上是利用了Cookie会自动在请求中携带的特性,诱使用户在第三方站点发起请求的行为。
·2021-06-18 22:37

Web安全漏洞深入分析及其安全编码

文章目录一、Web安全基础1.1常见的Web安全漏洞1.2安全编码原则1.3数据验证1.4身份认证&会话管理1.5授权管理1.6存储安全二、SQL注入及其安全编码2.1定义2.
little时间·2021-05-18 13:29

虚拟化技术与安全(操作系统与虚拟化安全课程笔记)

  最近公司对云安全很重要,希望我们在挖掘完Web安全漏洞后,进行虚拟机底层漏洞挖掘。
Magicknight·2021-04-23 19:54

web安全sql注入初识

web安全漏洞的本质:漏洞特定函数,传入可控变量,过滤形式。
Nu1LL+·2021-04-22 14:37

Spring Boot XSS 攻击过滤插件使用

XSS是什么XSS(CrossSiteScripting)攻击全称跨站脚本攻击,为了不与CSS(CascadingStyleSheets)名词混淆,故将跨站脚本攻击简称为XSS,XSS是一种常见web安全漏洞
冷冷zz·2021-04-13 13:04

十二个常见的Web安全漏洞总结及防范措施

前言本篇文章部分摘要自《OWASPTop102017》。OWASP,开放式Web应用程序安全项目(OpenWebApplicationSecurityProject)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。一、SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应
chenlijian·2021-03-22 10:16

Web 安全 之 CSRF

什么是CSRF跨站请求伪造(CSRF)是一种web安全漏洞,它允许攻击者诱使用户执行他们不想执行的操作。攻击者进行CSRF能够部分规避同源策略。
·2021-03-09 22:04

Web 安全 之 OS command injection

什么是操作系统命令注入OS命令注入(也称为shell注入)是一个web安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意的操作系统命令,这通常会对应用程序及其所有数据造成严重危害。
·2021-03-09 22:29

Web 安全 之 Directory traversal

目录遍历(也称为文件路径遍历)是一个web安全漏洞,此漏洞使攻击者能够读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据、后端系统的凭据以及操作系统相关敏感文件。
·2021-03-09 22:58

Web 安全 之 CSRF

什么是CSRF跨站请求伪造(CSRF)是一种web安全漏洞,它允许攻击者诱使用户执行他们不想执行的操作。攻击者进行CSRF能够部分规避同源策略。
·2021-03-09 21:25

《磐石计划:Web安全漏洞与渗透测试》笔记

课程:磐石计划:Web安全漏洞与渗透测试主讲老师:陈殷课程详情:https://www.cnblogs.com/xuanhun/p/12849767.html本文内容:磐石计划课堂笔记引用:课程讲义(作者
break_cat·2021-02-02 15:38

最全常见Web安全漏洞总结及推荐解决方案

常见Web安全漏洞总结及推荐解决方案1.SQL注入:2.不安全的会话管理漏洞:3.任意文件上传:4.任意文件读取:5.任意代码执行:6.越权访问:7.敏感信息泄露:8.XSS跨站脚本攻击:9.CSRF跨站请求伪造
B1nnnn丶·2020-12-18 17:24

Spring Boot XSS 攻击过滤插件使用

XSS是什么XSS(CrossSiteScripting)攻击全称跨站脚本攻击,为了不与CSS(CascadingStyleSheets)名词混淆,故将跨站脚本攻击简称为XSS,XSS是一种常见web安全漏洞
冷冷·2020-12-14 14:46

Spring Boot XSS 攻击过滤插件使用

XSS是什么XSS(CrossSiteScripting)攻击全称跨站脚本攻击,为了不与CSS(CascadingStyleSheets)名词混淆,故将跨站脚本攻击简称为XSS,XSS是一种常见web安全漏洞
·2020-12-03 12:06

【网络基础知识】常见的web安全问题有哪些

常见的web安全问题有哪些(1)SQL注入SQL注入是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。
holysll·2020-09-15 22:48

【黑帽编程与攻防技术】四:常见Web安全漏洞和防御

大家好,这里是黑帽编程与攻防技术系列的第四篇博客,如果有侵权,请联系删除,文章不支持转载。黑帽编程和攻防技术,主要是提升网安小白的攻防技术。包括但不限于邮箱入口攻击和防御,Windows系统漏洞攻防,引用程序攻防,Web网络攻防,漏洞挖掘。文章主要讲解攻击技术,是因为最好的防守即时攻击,但是不得用于非法目的。造成的一切损失,本人一概不负责。开始本章我们学习通过网络安全漏洞的原理和应用场景来初步判断
和风赛跑的男人·2020-09-15 07:50

安全漏洞略解

web安全漏洞-反射型XSS1.漏洞描述跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本缩写为XSS.恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html
little_蔷薇·2020-09-11 15:30

安全测试中如何快速搞定Webshell

WEB安全漏洞中,与文件操作相关的漏洞类型就不少,在大部分的渗透测试过程中,上传文件(大、小马)是必不可少的一个流程,然而各种各样的防火墙拦截了文件上传,遂整理文件操作相关漏洞的各种姿势,如有不妥之处,
bylfsj·2020-08-25 17:58

xxe外部实体注入漏洞

XXE原理攻击者通过干扰应用程序对XML数据的处理,从而实现读取应用程序服务器文件系统中的文件,并与应用程序本身可以访问到的任何后端或外部系统进行交互的一种Web安全漏洞
Candyys·2020-08-25 15:25

Web安全漏洞之SSRF

什么是SSRF大家使用的服务中或多或少是不是都有以下的功能:通过URL地址分享内容通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览,即所谓的转码功能通过URL地址翻译对应文本的内容,即类似Google的翻译网页功能通过URL地址加载或下载图片,即类似图片抓取功能以及图片、文章抓取收藏功能简单的来说就是通过URL抓取其它服务器上数据然后做对应的操作的功能。以ThinkJS代码为例,我们的实现
?Briella·2020-08-25 05:29

目录穿越/遍历漏洞 -- 学习笔记

目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。
angry_program·2020-08-22 15:56

Web安全漏洞——文件上传(fileupload)

1.原理文件上传漏洞是指用户上传了一个可执行脚本文件,并通过此文件获得了执行服务器端命令的能力。要完成这个攻击,要满足一下几个条件:上传的文件能够被Web容器解释执行,所以文件上传后所在的目录要是Web容器所覆盖到的路径。用户能够从Web上访问这个文件。用户上传的文件如果被安全检查、格式化、图片压缩等功能改变了内容,则可能导致攻击不成功文件包含漏洞(fileinclude)(有次面试问我文件包含,
枫裳·2020-08-22 04:52

渗透测试的概念和实战

>>>目录1.前言2.常见web安全漏洞3.思路3.1渗透测试思路3.2黑客攻击思路4.暴力破解4.1谷歌黑语法4.1.1黑语法inurl:搜索url包含指定字符串4.1.2黑语法intitle:搜索网页中的标题名是否包含指定字符串
六道有言·2020-08-21 15:34

有关Web 安全学习的片段记录(不定时更新)

很多Web安全漏洞的产生原因都绕不开两条:1.违背了“数据与代码分离“原则。它有两个条件:一是用户能够控制数据的输入;二是代码拼凑了用户输入的数据,把数据当作代码执行了。
s1mba·2020-08-20 21:32

常见Web安全漏洞及防范

分享三种常见的安全漏洞输入输出验证不充分SQL注入定义SQL注入是SQL语句插入到传入参数的攻击,之后再将这些参数传递给SQL服务器加以解析并执行。成因代码中有拼接的SQL或HQL语句危害拖库:导致数据丢失、数据窃取、数据破坏或拒绝服务提权:完全接管操作系统防范思路:预处理和参数化查询预处理和参数化查询PreparedStatement使用相关的框架如Struts、Hibernate、Ibatis
JAVA小镇V·2020-08-19 18:39

javaWeb安全漏洞及处理方式

转载自:https://blog.csdn.net/lujiancs/article/details/781750071、SQL注入攻击SQL注入攻击就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到
Full Stack Developme·2020-08-19 15:42

常见Web安全漏洞及其防御

常见Web安全漏洞及其防御1.1XSS攻击1.1.1什么是XSS攻击手段XSS攻击其实就是使用Javascript脚本注入进行攻击,因为浏览器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数
木棉上的光·2020-08-17 14:06

Web安全漏洞全面分析

1当前Web安全现状互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球因特网用户已达13.5亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。然而,现实世界中,针对网站的攻击愈演愈烈,频频得手。CardSystems是美国一家专门处理信用卡交易资料的厂商。该公司为万事达(Master)、维萨(
purpleforest·2020-08-17 10:14

Web安全漏洞的靶场演示

命令执行漏洞一般查看home目录,挖掘用户信息:ls-alh/home查看具体用户的目录:ls-alh/home/用户名/查看系统信息:uname-a利用ssh命令执行root权限命令使用ssh用户名@localhost通过ssh登录服务器是不需要身份验证的;比如查看bill用户sudo命令的权限:sshbill@localhostsudo-lubuntu自带防火墙,所以关闭防火墙方便后面的操作。
m0re·2020-08-15 00:20

Web安全 -- BurpSuite实战(上)

burp简介BurpSuite是Web应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。
redBu1l·2020-08-11 18:49

SSRF漏洞

SSRFSSRF(Server-SideRequestforgery,服务器端请求伪造)是一种攻击者构造请求,由服务器端发起请求的web安全漏洞,很多时候的SSRF攻击的目标是外网无法访问的内部主机系统
TH and ME·2020-08-11 18:34

WEB安全攻防技术精讲视频教程(全漏洞原理+攻击手段+测试方法+预防措施)-任健勇-专题视频课程...

本课程中,从web安全漏洞原理、攻击手段、测试方法、预防措施四个方面全面剖析WEB安全的点点滴滴,针对开发人员、测试人员、运维人员、网络工程师都能够起到一定的指导意义。课程收益本课程旨在弥
jacksonren1987·2020-08-09 21:32

WAF技术及应用读书笔记(一)安全概述

第一章Web系统安全概述了解Web系统安全现状,理解Web网站系统结构和Web安全漏洞分析。1.1Web系统安全现状现状堪忧,一大半处于危险状态中。
ai_64·2020-08-09 19:25

Nginx Web安全漏洞解决:Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露

1、安全漏洞说明使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞1.1、安全漏洞:Web服务器HTTP头信息公开风险级别:中风险漏洞个数:4漏洞详情:端口协议服务443TCPWWW80TCPWWW8000TCPWWW8080TCPWWW1.2、安全漏洞:Web服务器错误页面信息泄露风险级别:中风险漏洞个数:4漏洞详情:端口协议服务443TCPWWW80TCPWWW8000TCP
yanwei2020·2020-08-09 01:48

Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】

未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证背景最近就新开发项目进行网络安全监测,检测报告中发现含有点击劫持:X-Frame-OptionsHeader未配置(低危)Web
身后是非·2020-08-08 01:59

【WebGoat 学习笔记】--2.安装

WebGoat是一个平台无关的Web安全漏洞实验环境,该环境需要ApacheTomcat和JAVA开发环境的支持。
weixin_33826268·2020-08-08 00:23

Web安全漏洞 之 X-Frame-Options,X-XSS-Protection,X-Content-Type-Options 响应头配置

X-Frame-OptionsX-Frame-Options响应头有三个可选的值:DENY:页面不能被嵌入到任何iframe或frame中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frame或frame加载。X-XSS-Protection顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都
Able张·2020-08-07 23:28

记录个人web测试总结经验

快捷栏漏洞17年OWASPTOP10漏洞常见的Web安全漏洞Sql注入注入类型Sql原理:Sql注入产生的原理条件:XSSXSS分类:反射型、存储型、dom型Xss原理:三个类型的区别:修复方式:上传文件上传漏洞原理常见的上传绕过方式
QC灰色灬·2020-08-05 18:16

扫描工具awvs简单使用介绍

一、AWVS功能模块1、WebScanner——web安全漏洞扫描功能2、SiteCrawler——爬虫功能(遍历站点目录结构)3、TargetFinder——端口扫描功能(与nmap相似)4、SubdomainScanner
见痴·2020-08-05 10:08

Web安全漏洞之SQL注入

SQL注入是将sql语句输入到用户输入的参数中,之后再将这些参数传递到后台的SQL服务器加以解析并执行。原理:通过用户可控参数中注入SQL语法,破环原有SQL结构,达到编写程序意料之外的结果。危害:1.获取信息2.拖库3.修改数据库4.拿到webshell5.服务器系统权限过程:表示层访问具体网址http://www.xxx.com逻辑层加载、编译并执行脚本文件存储层执行SQL产生原因:1.对用户
Ningmengcl·2020-08-04 21:44

JRE8u20反序列化漏洞

JRE8u20反序列化漏洞分析美丽联合安全MLSRC2018-07-09共16208人围观WEB安全漏洞0×00TLDR之前在第一篇文章中我们简单的讲了一下Java的序列化机制,即通过ObjectOutputStream
xiaoWhite_meng·2020-08-04 08:59

常见的Web安全漏洞及测试方法介绍

常见的Web安全漏洞及测试方法介绍背景介绍Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。
conglian1917·2020-08-02 23:21

任意文件下载

https://bbs.ichunqiu.com/thread-23587-1-1.html前言本次分享的是web安全漏洞中的任意文件下载,前段时间比较忙,今天抽空写了个简单的下载功能,代码运行的时候有点问题
手艺人123·2020-08-02 14:32
上一页 1 2 3 4 5 6 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他