随笔分类 - web安全
web安全相关文章
摘要:1、专业的还得ixia、Spirent TestCenter等软硬件一体的 2、一般的使用软件的,安装在linux上使用 参考: 1、http://blog.csdn.net/wuzhimang/article/details/54581117 2、https://github.com/wenfen
阅读全文
摘要:1、safety 安装: 使用: 2、dependency-check dependency-check虽然可以检查python项目,但是能力一般,主要还是用来检查java项目 3、原理: 依赖性检查就是利用各种工具和方法,尽量收集项目插件的信息,从而确定项目所依赖的插件名字及版本信息,生成一个cp
阅读全文
摘要:1、PyFuzz (0.1.3) - Simple fuzz testing for unit tests, i18n, and security 2、flawfinder (2.0.4) - a program that examines source code looking for secur
阅读全文
摘要:1、Dependency-Check可以检查项目依赖包存在的已知、公开披露的漏洞。目前良好的支持Java和.NET;Ruby、Node.js、Python处于实验阶段;仅支持通过(autoconf and cmake)编译的C/C++。主要提供针对owasp2017 top10的 A9 - Usin
阅读全文
摘要:参考官方文档:http://docs.jinkan.org/docs/flask/security.html 1、xss Flask 配置 Jinja2 自动转义所有值,除非显式地指明不转义。这就排除了模板导致的所有 XSS 问题,但是你仍需要在其它的地方小心: 生成 HTML 而不使用 Jinja
阅读全文
摘要:如图flask的app.py里显示app的默认配置,httponly默认值为true,所以如果开发者不修改这个配置的话,攻击者是无法通过xss攻击读取浏览器cookie这部分信息的。 Cookie:sessionid=xxxx;nsessionid=xxxxx 这里的分号表示有两个session信息
阅读全文
摘要:一、XXE,即XML External Entity,XML外部实体。ENTITY 实体,在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。XML定义了两种类型的ENTITY,一种在XML文档中使用,另一
阅读全文
摘要:一、ssrf,全称:Server-Side-Request-Forgery服务端请求伪造 二、我们正常发出的请求都是经过我们的浏览器,由我们自己的电脑发出的;而存在ssrf的目标网站,我们输入某个网址,则由目标网站所在的服务器向这个网址发起请求。这样往往可以突破网络访问限制,访问我们本身访问不到的内
阅读全文
摘要:看下这篇文章: http://www.jianshu.com/u/c89141b2d51e 相应的demo演示: https://github.com/xbeark/javaopenrasp
阅读全文
摘要:https://blog.chaitin.cn/2015-11-11_java_unserialize_rce/ http://blog.nsfocus.net/?s=fastjson http://blog.nsfocus.net/fastjson-remote-deserialization-p
阅读全文
摘要:1、favicon.ico是网站的title图标 2、在设置CSP时,举例如下,表示只允许来源为https://my.alipay.com的图片,如果不是,则向指定的url(report.php)发出报告 Content-Security-Policy: img-src https://my.ali
阅读全文
浙公网安备 33010602011771号