Web应用安全
文章平均质量分 92
一头老毅
2003年开始从事信息安全产品测试工作至今。熟悉各类主流网络测试仪器,测试软件等。业余喜欢编程,从网站到信息管理系统到专用测试工具到驱动都有涉猎。
展开
-
学习Web应用漏洞最好的教程----WebGoat
WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究组织OWASP精心设计并不断更新,目前的版本已经到了5.0。WebGoat本身是一系列教程,其中设计了大量的web缺陷,一步步的指导用户如何去利用这些漏洞进行攻击,同时也指出了如何在程序设计和编码时避免这些漏洞。Web应用程序的设计者和测试者都可以在WebGoat中找到自己感兴趣的部分。原创 2009-03-19 13:15:00 · 25981 阅读 · 2 评论 -
史上最全的Web安全相关网址汇总【转帖】
本文出处:http://www.owasp.org/index.php/Phoenix/Tools老外收集的,佩服!LiveCDsMonday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso - http://www.packetfocus.com/hackos/DVL (Damn Vulnerable Lin转载 2009-07-03 23:28:00 · 7517 阅读 · 0 评论 -
静态代码分析工具集合
这个网址(http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis)收录目前基本上所有的静态代码分析工具,在安全方面其中fortify应该是佼佼者,可惜只用过在一本书的所附光盘中的试用版。 这篇文章《浅淡静态代码分析工具》也不错,留个记号。转载 2009-06-26 21:07:00 · 1618 阅读 · 0 评论 -
Web应用防火墙(WAF Web Application Firewall)评价标准【翻译】
Web应用防火墙(WAF Web Application Firewall)评价标准 Version 1.0 (January 16, 2006)Copyright © 2005,2006 Web Application Security Consortium (http://www.webappsec.org)Table翻译 2009-08-27 09:33:00 · 7201 阅读 · 3 评论 -
系统等级保护中的Web应用安全评估
系统等级保护中的Web应用安全评估 摘 要:Web应用安全评估是系统等级保护评估中的重要一环,本文以实例分析了常见Web应用漏洞的形成原理,介绍了相应的评估实施方法,并给出了增强Web应用安全性的实用性建议。关键词:Web应用安全 评估 系统等级保护 跨站脚本 SQL注入 【本文作者:李毅、顾健、顾铁军,转载请注明】 1. 引言当今世界,因特网已经成为一个非常重要的基原创 2009-08-18 16:15:00 · 2135 阅读 · 0 评论 -
玩转apache之日志【转帖】
本文原出处 http://www.zhangyiqun.cn/26.html原作者 作者:张逸群Mail:jeantoe@gmail.com 引言要有效地管理Web服务器,就有必须了解服务器的状态、性能以及出现的问题。Apache提供了非常全面而灵活的日志记录功能。本文将阐述如何配置文件以及如何理解日志内容。 1.使用combined获取更详细的日志编辑httpd.转载 2009-08-09 19:54:00 · 1271 阅读 · 0 评论 -
关于session机制的一些总结【转帖】
本文摘自:http://www.51testing.com/?uid-212931-action-viewspace-itemid-109962 一、cookie和session的区别与联系。 “让我们用几个例子来描述一下cookie和session机制之间的区别与联系。笔者曾经常去的一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠,然而一次性消费5杯咖啡的机会微乎其微,这时就需要某种方式转载 2009-08-04 09:22:00 · 753 阅读 · 0 评论 -
结合WebScarab对WebGoat进行SQL注入测试
SQL注入是目前Web应用中最常见的漏洞,只要网页上有提交框并且该提交框的内容影响后台的查询的SQL语句,就可能存在该漏洞。一般程序员在编写Web应用程序时都是直接从request中取出提交的参数的值放入到SQL语句中进行查询,这就造成了一个又一个的SQL注入风险。熟悉SQL语句的攻击者会在网页输入框中输入设计好的内容,将SQL的查询逻辑改变,从而得到自己想要的东西。举几个例子: 案原创 2009-03-20 10:08:00 · 5556 阅读 · 1 评论 -
跨站点脚本攻击(XSS)深入解析【转帖】
本文转载自http://www.ibm.com/developerworks/cn/rational/08/0325_segal/作者 Ory Segal, 安全研究主管, IBM 在跨站脚本攻击中会发生什么 跨站脚本攻击(cross-site scripting,简称 XSS),是黑客用来潜入 Web 应用程序的最普遍的应用程序层攻击之一。XSS 是针对特殊 Web转载 2009-03-19 22:27:00 · 4357 阅读 · 3 评论 -
Tomcat之Session和Cookie大揭密
本文介绍了Session和Cookie的区别和关系,不错,特别是关于JSessionID那一段。推荐转载 2010-12-14 15:59:00 · 1635 阅读 · 0 评论