10 2017 档案

记录一次网站漏洞修复过程(三):第二轮处理(拦截SQL注入、跨站脚本攻击XSS)
摘要:在程序编写的时候采用参数化的SQL语句可以有效的防止SQL注入,但是当程序一旦成型,再去修改大量的数据库执行语句并不是太现实,对网页表单上输入进行校验是易于实现的方法。在webForm 页面中开启校验属性: 但是有的时候也不太好使,只能自己编写代码检查用户的输入,如果直接在页面上添加校验,工作量比较 阅读全文
posted @ 2017-10-26 10:44 理论家 阅读(532) 评论(0) 推荐(0)
记录一次网站漏洞修复过程(二):第一轮处理(IIS目录枚举、应用程序错误)
摘要:解决IIS目录枚举 当前的IIS版本为7.5 【IIS】 => 【请求筛选】 => 【URL】中添加 【拒绝序列】 符号 ~ 应用程序错误 在Global.asax 中添加异常处理代码,当程序出现异常后,记录异常,跳转到预先设置的页面,避免暴漏太多的细节 阅读全文
posted @ 2017-10-26 10:13 理论家 阅读(964) 评论(0) 推荐(0)
记录一次网站漏洞修复过程(一):安全报告
摘要:XXXXX网站安全测试报告 <!--[if !supportLists]-->1 <!--[endif]-->测试目标和对象 <!--[if !supportLists]-->1.1 <!--[endif]-->测试目标 渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的测试经验, 阅读全文
posted @ 2017-10-26 09:46 理论家 阅读(4640) 评论(1) 推荐(0)

点击这里给我发消息