摘要:
暴力破解及验证码安全 1、暴力破解注意事项 暴力破解前准备 暴力破解前一定要先搜集敏感信息,以便于缩小破解范围甚至做到点对点破解,减少不必要的资源浪费。真正的战士不做没打算的仗,否则便是莽夫! 例如:我们要测试一个网页,那么我们可以先从亲自注册开始一步一步搜集敏感信息,猜测可能漏洞。o(* ̄︶ ̄*) 阅读全文
posted @ 2020-11-10 17:16
子墨·咖啡
阅读(44)
评论(0)
推荐(0)
摘要:
失效的访问控制,越权与逻辑漏洞 越权等逻辑漏洞都属于业务设计缺陷的安全问题,因此不受安全设备(例如防火墙,wafer...)限制。然而却也是最常见,危害性不可小觑的漏洞!因此,在排除安全设备安全隐患后我们还需要进行失效的访问权限控制探测。 根据前辈对常见的漏洞进行的统计,发现其中越权操作和逻辑漏洞占 阅读全文
posted @ 2020-11-10 17:15
子墨·咖啡
阅读(85)
评论(0)
推荐(0)
摘要:
参考:https://blog.csdn.net/whoim_i/article/details/103171707 安全配置错误定义 安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务,平台,web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器如dock8s、存储 阅读全文
posted @ 2020-11-10 17:14
子墨·咖啡
阅读(14)
评论(0)
推荐(0)
摘要:
漏洞描述 由于管理员或者技术人员等各种原因导致敏感信息泄露。 例如:技术人眼将代码传输到了网上;开发人员没有对敏感信息进行脱敏处理;网页源码中的注释信息包含一些真实ip或管理员用户的敏感信息;公司信息备案在备案网站留下了敏感重要信息;公司人员恶意信息泄露..... 许多web应用程序和api都无法正 阅读全文
posted @ 2020-11-10 17:12
子墨·咖啡
阅读(34)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2020-11-10 17:08
子墨·咖啡
阅读(8)
评论(0)
推荐(0)
摘要:
OWASP TOP 10 之 不安全的对象直接引用(文件上传与下载) 参考案例:WooYun.org 任意文件下载 漏洞介绍: 一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件或者文件路径不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。 阅读全文
posted @ 2020-11-10 17:06
子墨·咖啡
阅读(9)
评论(0)
推荐(0)
摘要:
sql注入攻击技术笔记 SQL注入式攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令 阅读全文
posted @ 2020-11-10 17:04
子墨·咖啡
阅读(24)
评论(0)
推荐(0)
浙公网安备 33010602011771号