- 博客(62)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 Xpath注入攻击及其防御技术研究
Xpath注入攻击及其防御技术研究陆培军(南通大学 计算机科学与技术学院,江苏 南通226019) 摘 要 XML技术被广泛使用,XML数据的安全性越来越重要。本文简要介绍了XPath注入攻击XML数据的原理。在前人提出的防御通用方法的基础上,提出一个XPath 注入攻击通用检验模型,模型具有普遍意义。 关键词 XPath注入攻击; 防御技术; 模型1 Xp
2012-02-02 15:10:36
14968
转载 XPath盲注简介
本文主要介绍代码注入攻击的一种特殊类型:XPath 盲注。如果您不熟悉 XPath 1.0 或需要了解基础知识,请查看 W3 Schools XPath 教程。您还可以在 developerWorks 上找到大量的关于在各种语言环境中使用 XPath 的文章。本文使用的示例主要针对 XPath 1.0,但是也可用于 XPath 2.0。XPath 2.0 实际上增加了您可能遇到的问题。
2012-02-02 13:45:36
11204
转载 SQL注入漏洞测试工具比较
Sql注入测试一定要使用工具。原因一:工作效率;原因二:人工很难构造出覆盖面广的盲注入的sql语句。例如当一个查询的where字句包含了多个参数,or and的关系比较多时,简单的or 1=1, and 1=2是很难发现注入点的。Sql注入的工具很多(Top 15 free SQLInjection Scanners),我最近使用的有Sqlmap,SqliX,JbroFuzz,Sq
2012-02-02 10:44:29
12784
3
转载 职场宝典:63种能力让你职场步步高升
职场中,有这样的一些人,他们对上能够如鱼得水,平步青云;对下又能把事务处理得有井井有条,其他同事又对他佩服得五体投地?不要以为他们天生就是这样的能人,其实他们也是在工作中慢慢积累成果,下面就让我们来看看作为上司的你和作为下属的你应该拥有哪些能力。作为公司员工,一定要对自己严格要求,具备多方面的能力,你才能步步高升。所以你应该具备以下的能力:1.务实能力。敬业乐业,务实进取的精神,面对困难充
2011-12-27 12:51:53
1511
1
原创 XML与Web Service基础知识点
一、名词XML:Extensible Markup Language, 可扩展标记语言。可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML与HTML的区别:XML是用来存储数据的,重在数据本身。而HTML是用来定义数据的,重在数据的显示模式。XML利用Web Service进行应用程序之间的通信。Web Service:从表面上看,Web se
2011-12-26 11:09:05
1118
转载 QTP中实现对文本文件(txt)的读写操作
在实际的项目中,很多Data都是保存在外部文件中,因此,我们就需要对外部文件的内容进行读写。常见的是文本文档(.txt),excel,数据库等。本篇先介绍下对文本文档的读取。当然,在实际项目中,最常见的就是往.txt文档写日志文件,简单的读写弄懂之后,写日志文件同样可以举一反三。对于文本文件的读写,首先需要创建一个文本对象,然后再打开需要读写的文件:Set fso = Create
2011-12-23 16:29:35
4297
原创 QTP:General Error while saving the test 的解决方法
首次保存录制的脚本时,弹出“General Error while saving the test”,解决办法如下:方法一:1、在c:\windows\system32下找是否有scrrun.dll文件,如果没有则从microsoft网站上down一个(一般都有)2、然后在cmd下执行命令:regsvr32 c:\windows\system32\scrrun.dll
2011-12-23 15:26:32
2674
转载 设计差异引发WebServices 安全性问题
【http://www.enet.com.cn/esoftware/ 2007年08月21日15:48 来源:赛迪网 作者:Paul Korzeniowski/Kevin】 随着Web Services应用的发展,厂商们试图得出一套成型的方法来保证应用层信息安全。“厂商们已经开发了一整套标准来保护Web Services事务处理的安全”,Forrester研究中心的Randy
2011-12-23 14:10:59
923
转载 XML与Webservices相关的安全问题概述
与基于Internet技术实现人与人通信(e-mail)和人与应用程序(Web页)的通信方式很相似,XML和Web services从根本上改变了应用程序之间的通信方式。他们使应用程序之间的通信更加有效,而不必要处理底层的通信机制。 然而,Web services标准不能彻底解决XML Web services的安全性。本文将提供XML与 Web services相关的安全性问题的概述,略述
2011-12-23 13:00:04
1962
转载 构建安全的 Web Services
本页内容本模块内容目标适用范围如何使用本模块概述威胁与对策设计注意事项输入验证身份验证授权敏感数据参数操纵异常管理审核与日志记录代理服务器的注意事项
2011-12-23 10:54:48
1508
原创 Webservice测试方案(目录及下载链接)
1. WebService简介WebService是一种革命性的分布式计算技术,本质上就是网络上可用的API,可以直接在网络环境调用的方法。WebService常用的框架有axis、xfire、cxf等。WebService发布后,其服务是封装在一个wsdl(Web Services Description Language,Web服务描述语言)文件中,客户端发请求主要是向发布好的
2011-12-23 09:49:48
2076
转载 Webservice:客户端用https
来自http://www.cnblogs.com/genghechuang/archive/2011/10/26/2225042.html 项目需要用https与服务器进行连接,获取系统需要的一些配置参数。以前是用http进行连接的,客户端代码比较简单,直接使用URL类进行连接并获取输入流即可。试着在浏览器中输入相应的https连接地址,提示证书确认,确认以后就访问到内容了。
2011-12-22 16:29:44
14604
2
转载 WebService测试案例
在浏览器中输入地址:http://localhost:8080/webservice_helloworld/HelloWorldService.ws?wsdl,我们可以看到HelloWorldService对应的WSDL信息,阅读这个WSDL文档,我们可以知道HelloWorld的sayHelloWorld方法已经被成功地发布为Web Service了。只要拿到这个WSDL就可以开发相应的客户
2011-12-22 16:23:49
7669
转载 Webservice调用方式:axis,soap详解
转自:[url] http://blog.csdn.net/baiboy4493/archive/2009/03/13/3987526.aspx [/url] 调用webservice,可以首先根据wsdl文件生成客户端,或者直接根据地址调用,下面讨论直接调用地址的两种不同方式:axis和Soap,soap方式主要是用在websphere下 axis方式调用(Java代码):
2011-12-22 11:23:51
5317
1
转载 【常见Web应用安全问题】---14、Google Hacking
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:17:19
1169
转载 【常见Web应用安全问题】---13、Blind SQL/XPath injection
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:16:47
1393
转载 【常见Web应用安全问题】---12、URL redirection
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:15:31
1429
转载 【常见Web应用安全问题】---11、Cookie manipulation
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:13:52
3109
1
转载 【常见Web应用安全问题】---10、XPath injection
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:12:56
1428
转载 【常见Web应用安全问题】---9、PHP code injection
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:12:19
1608
转载 【常见Web应用安全问题】---8、Cross Frame Scripting
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:11:20
5375
1
转载 【常见Web应用安全问题】---7、CRLF injection
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:10:38
4425
转载 【常见Web应用安全问题】---6、Script source code disclosure
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:06:58
6336
2
转载 【常见Web应用安全问题】---5、File Inclusion
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:06:03
2019
转载 【常见Web应用安全问题】---4、Directory traversal
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 11:00:50
11815
转载 【常见Web应用安全问题】---3、Code Execution
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 10:48:28
2121
转载 【常见Web应用安全问题】---2、SQL Injection
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里只介绍常见、比较常见和有点常见的。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 10:07:40
1394
转载 【常见Web应用安全问题】---1、Cross Site Scripting
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
2011-12-22 10:06:23
6404
转载 Web安全性问题的层次关系
大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。 以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次: 1、网络安全。如防火墙、路由器、网络结构等相关的安全问题 2、系统与服务安全。如Window/Linux
2011-12-22 09:56:07
1010
转载 Web应用程序安全性问题的本质
相信大家都或多或少的听过关于各种Web应用安全漏洞,诸如:XSS,SQL注入,上传漏洞... 形形色色的安全漏洞中,其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分: 1、输入/输出验证(Input/output validation) 2、角色验证或认证(Role authentication ) 3、所有权验证(Ownershi
2011-12-22 09:51:09
1147
转载 Cross-Site Scripting(XSS): 跨站脚本攻击介绍
一、XSS攻击简介 作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,而XSS采用的注入方式是非常巧妙的。 在XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览器。 由于有的服务器并没有对用户的输入进行安全方面的验证,攻击者就可以很容易地通过正常的输入手段,夹带进一些恶意的HTML脚本代码。当受害
2011-12-21 16:45:21
17705
11
转载 【WebGoat笔记】--- Cross-Site Scripting(XSS)
目标:伪造一个登陆界面,要求用户输入用户名和密码,将数据提交到http://localhost/WebGoat/capture/PROPERTY=yes&ADD_CREDENTIALS_HERE 解决步骤:首先:随意输入搜索内容,如:123.打开源代码,检测是否有未关闭的标签。由于这是一个入门级的练手任务,代码漏洞百出,这一层就不用考虑了。第二步:尝试在搜索栏中插入Ja
2011-12-21 16:10:08
2488
1
转载 最佳的75个安全测试工具
工具:Nessus(最好的开放源代码风险评估工具)网址:http://www.nessus.org/类别:开放源码平台:Linux/BSD/Unix简介:Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件,拥有很好的 GTK界面,能够完成超过1200项的远程安全检查,具有强大的报告输出能力,可以产
2011-12-21 13:52:38
7806
转载 SQL注入测试工具:Pangolin(穿山甲)
第一章、简介 1.1 Pangolin是什么?Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从
2011-12-20 12:51:11
59347
2
转载 JAVA中出现OutOfMemoryError:Eclipse中设定Java虚拟机内存
Eclipse中设定Java虚拟机内存在使用Eclipse的过程中,有时会遇到使用Java虚拟机内存不够的情况,这时Eclipse就会提示你重启,对于大型开发,应修改 VM 自变量以使有更多的堆可用。对应在Eclipse中的设置为:窗口->首选项->JAVA->已安装的JRE(window-preferences-java-installed JRE)在缺省的VM自变量中增加:-X
2011-12-14 09:29:08
1300
转载 Apache+ Tomcat 负载平衡设置详解
一、简介: 每个Tomcat worker是一个服务于web server、等待执行servlet的Tomcat实例。例如我们经常使用像Apache之类的web server转发sevlet请求给位于其后面的一个Tomcat进程(也就是前面所说的worker)。本文具体介绍了如何配置各种类型worker和loadbalance,并说明了各种类型worker的特性和loadbalanc
2011-12-05 12:06:45
609
转载 Tomcat中的Out Of Memory错误
tomcat中的outofmemory错误1、PermGen space错误PermGen space的全称是Permanent Generation space,是指内存的永久保存区域Out Of Memory Error: PermGen space从表面上看就是内存益出,解决方法也一定是加大内存。说说为什么会内存益出:这一部分用于存放Class和Meta的信息,Class在被 L
2011-12-05 12:03:25
988
原创 【WebGoat 学习笔记】--3.试用中出现的问题汇总及解决办法
1、建议使用8080端口,以免冲突;2、如果安装后地址栏输入http://localhost/WebGoat/attack无法打开,可尝试输入http://localhost/webgoat/attack 原因:地址栏输入区分大小写,5.2以下版本一般为”WebGoat“,5.3版本一般为全小写”webgoat“3、运行webgoat.bat后,tomcat一闪而过启动不起来。
2011-11-29 10:08:43
2642
1
转载 【WebGoat 学习笔记】--2.安装
WebGoat是一个平台无关的Web安全漏洞实验环境,该环境需要Apache Tomcat和JAVA开发环境的支持。它分别为Microsoft Windows和UN*X环境提供了相应的安装程序,下面我们将根据操作系统分别加以介绍。 安装Java和Tomcat 需要注意,从版本5开始,这一步可以省略,因为它们自身带有Java Development Kit和Tomcat 5.5。首
2011-11-29 10:01:03
1460
转载 【WebGoat 学习笔记】--1.简介及下载
WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序,旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的,因此可以安装到所有带有Java虚拟机的平台之上。此外,它还分别为Linux、OS X Tiger和Windows系统提供了安装程序。部署该程序后,用户就可以进入课程了,该程序会自动通过记分卡来跟踪用户的进展。当前
2011-11-29 09:48:50
1137
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人