摘要:
主要内容: SQL注入,Log注入 Command Injection.. 2 Numeric SQL Injection.. 2 Log Spoofing.. 2 XPATH Injection.. 2 LAB: SQL Injection.. 3 Stage 1: String SQL Injection.. 3 Stage 2: Parameterized Query #1(略... 阅读全文
摘要:
主要内容 保存,反射型Xss,CSRF及HttpOnly的特性 Phishing with XSS LAB: Cross Site Scripting Stage 1: Stored XSS. Stage 2: Block Stored XSS using Input Validation Stage 3: Stored XSS Revisited Stage 4: Block Stor... 阅读全文
摘要:
主要内容: 网页Ajax程序与服务器交互返回内容包括无格式文本,Json串,Xml串,回调的Js代码,而这些返回的信息存在有哪些威胁呢? DOM-Based cross-site scripting LAB: Client Side Filtering Same Origin Policy Protection DOM Injection XML Injection JSON Inject... 阅读全文
摘要:
主要内容: Access Control Flaws 访问控制缺陷,这个栏目下的Bug属于将业务的关键逻辑放在了前台,而后台也没有作相应的校验,导致用户可以通过修改前台页面,跳过验证逻辑操作后台数据 Using an Access Control Matrix Bypass a Path Based Access Control Scheme LAB: Role Based Access C... 阅读全文
摘要:
主要内容: WebGoat的安装(略),内部访问方法与后续需要使用的Firebug的一些功能 一.WebGoat安装(略)与访问 二.浏览器推荐使用Firefox (1)FireBug安装 (2)定位查看页面元素 (3)Js调试 一.WebGoat安装(略)与访问 访问方式: 先配置host: xx.xx.xx.xx hacker.qq.com 访问URL:http://hack... 阅读全文