摘要：本篇继续对于安全性测试话题，结合DVWA进行研习。 Session Hijacking用户会话劫持 1. Session和Cookies 这篇严格来说是用户会话劫持诸多情况中的一种，通过会话标识规则来破解用户session。 而且与前几篇不同，我们有必要先来理解一下Session和Cookie的工作 阅读全文

摘要：本篇继续对于安全性测试话题，结合DVWA进行研习。 CSRF（Cross site request forgery）：跨站请求伪造 1. 跨站请求伪造攻击 CSRF则通过伪装成受信任用户的请求来利用受信任的网站，诱使用户使用攻击性网站，从而达到直接劫持用户会话的目的。 由于现在的主流浏览器比如火狐和 阅读全文

摘要：本篇继续对于安全性测试话题，结合DVWA进行研习。 Command Injection：命令注入攻击。 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令，来达到破坏目的的一种攻击方式。如果我们的应用程序将不安全的用户输入传递给了系统命令解析器（shell 阅读全文

摘要：免责声明： 本文意在讨论使用工具来应对软件研发领域中，日益增长的安全性质量测试需求。本文涉及到的工具不可被用于攻击目的。 1. 安全性测试 前些天，一则12306用户账号泄露的新闻迅速发酵，引起了购票用户的一片恐慌。 且不论这次账号泄露的漏洞究竟是发生在哪里，网络安全性这个话题再次引起了我们的关注。 阅读全文

摘要：上一篇我们了解了XSS攻击的原理，并且利用DVWA尝试了简单的XSS攻击，这一篇我们来实现更复杂的攻击，然后探讨防御机制和测试理念。 前面我们通过脚本注入让网页弹出了用户cookie信息，可以光弹窗是没有什么用的，接下来我们想办法把这些信息发送出去。 2.1 使用反射型XSS攻击盗取用户cookie 阅读全文

摘要：XSS 全称Cross Site Scripting 即‘跨站脚本攻击’。 从其中文释义我们能直观的知道，这是一种对网站的攻击方式。 其原理在于，使用一切可能手段，将可执行脚本（scripting）植入被攻击页面中去，从而实现对目标网站的攻击。 本质上可以理解为‘让自己的代码在目标网站中运行’的一种 阅读全文