摘要:
安全配置错误概述 错误安全配置可以发生在一个应用程序堆栈的任何层面, 包括平台、web 服务器、应用服务器、框架和自定义代码。开发人员和网络管理员需共同努力, 以确保整个堆栈的正确配置。 自动扫描器可用于检测未安装的补丁、错误的配置、默认帐户的使用、不必要的服务等。 安全配置错误常见案例1 、应用程 阅读全文
摘要:
失效的访问控制(越权) 失效的访问控制, 指未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据( 直接的对象引用或限制的URL ) 。例如: 访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。 表现形式: 水平权限安全攻击垂直权限提升攻击 失 阅读全文
摘要:
敏感信息泄露 我们常说数据的安全性是极为重要的, 而在程序人员的编程过程中, 由于有些需求或是设计的问题, 往往会造成特别是机密数据的安全性得不到保证, 常见的不安全的数据存储中的数据进行破解。 敏感信息泄露设计两个方面: 1 、存储2 、传输过程 http、https 敏感信息泄露表现形式 在这个 阅读全文
摘要:
转载于https://my.oschina.net/heroShane/blog/197049 攻击情景 原文中A是受害者,她使用的一个银行网站http://unsafe/存在session fixation漏洞,B是攻击者,他想盗窃A的银行中的存款,而A会点击B发给她的网页连接(原因可能是A认识B 阅读全文