- 博客(3)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 2020-08-19
OWASP Top 10 (2017)A1:2017 - 注入漏洞描述:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。漏洞影响:注入能导致数据丢失、破坏或泄露给无授权方,缺乏可审计性或是拒绝服务。注入有时甚至能导致主机被完全接管。检测场景:SQL注入: 数字型 若 and 1=1正常,and 1=2 异常,则存在注入点。 字符型 若
2020-08-19 14:38:16
301
原创 Web 指纹识别
**Web 指纹识别**攻击者最常用的方法是首先覆盖目标的网络存在并枚举尽可能多的信息。利用此信息,攻击者可以製定出准确的攻击方案,这将有效利用目标主机正在使用的软件类型/版本中的漏洞。在攻防环境中信息收集总是非常重要的一个重要环节,多维度信息收集在红队攻防中绘制更完善的攻击面以及攻击思路流程。识别方法现有指纹识别方法通常会有对 Header,首页关键字两大类别,这其中包含了指定 Url 路径中的关键字,或者各种 Meta 标签,JS 文件等。1. Header 数据包中确定是否使用代理或缓
2020-08-11 18:54:19
1474
原创 OWASO TOP 10 漏洞原理及防范方法
1、注入:Web安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。防御:1.使用安全的API,避免使用解释器或提供参数化的接口(prepared statements,or stored procedures)2.使用白名单来规范化的输入验证方法3.对输入的特殊字符进行Esc
2020-06-30 16:55:31
662
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人