IBM Security Appscan漏洞--通过框架钓鱼

最新推荐文章于 2023-11-19 18:59:31 发布
最新推荐文章于 2023-11-19 18:59:31 发布
阅读量6.3k 收藏 2
点赞数
分类专栏: 漏洞 文章标签: security 漏洞 网络钓鱼
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Super_Man_X/article/details/50905169
版权

可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
可能原因 :
未对用户输入正确执行危险字符清理
技术描述 :
网络钓鱼是一种社会工程技巧,其中攻击者伪装成受害者可能会与其进行业务往来的合法实体,以便提示用户透露某些机密信息(往往是认证凭证),而攻击者以后可以利用这些信息。网络钓鱼在本质上是一种信息收集形式,或者说是对信息的“渔猎”。
攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。
由于伪造的站点嵌入在原始站点中,这样攻击者的网络钓鱼企图就披上了更容易让人轻信的外衣。

解决办法:
对特殊字符进行处理,从前台-》后台-》前台,对数据进行处理。添加XSS过滤器,对所有从前台进入的参数进行过滤。
XSS过滤器:
http://blog.csdn.net/super_man_x/article/details/50905546
类似漏洞:

最低0.47元/天 解锁文章
Hi_YouXu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
appscan扫描 通过框架钓鱼、链接注入(便于跨站请求伪造)、跨站点脚本编制等问题
Mervyn的博客
10-11 1500
手上的一个项目最近用appscan扫描测试。遇到了几个中高问题: 通过框架钓鱼 链接注入(便于跨站请求伪造) 跨站点脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
IBM AppScan安装和激活-附件资源
03-02
IBM AppScan安装和激活-附件资源
跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞
mym43210的专栏
11-13 5498
1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞 主要是通过在url或参数中添加脚本如: 1、URL中添加alert(1) 2、参数value=。 添加一个过滤器对特殊字符进行拦截 [java] view plaincopy package com.xxx.sys.filter;      import jav
java跨站点脚本编制_跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 218
1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞主要是通过在url或参数中添加脚本如:1、URL中添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
经典Web安全缺陷(框架钓鱼风险)
Liuhaiyan6的博客
09-17 8309
1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)3)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序中最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱点以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到
IBM Security AppScan安装包
06-26
总之,IBM Security AppScan是一款功能强大的应用安全测试工具,可以通过自动化测试和高级漏洞扫描技术,帮助开发人员和测试人员识别和修复Web应用程序中的安全漏洞,提高Web应用程序的安全性。
IBM-appscan9.0安装包
12-12
在安装IBM AppScan 9.0之前,有一些前提条件需要满足,比如必须先安装.NET Framework 4.5,因为该框架IBM AppScan运行的基础环境之一。 首先,让我们详细了解一下IBM AppScan 9.0的核心功能。它提供了静态和动态...
appscan7-8安装教程
03-28
appscan7-8安装教程,很实用的。欢迎下载
APPScan基础扫描-技术手册》
11-08
APPScan基础扫描-技术手册》这篇文档将教会你如何使用APPScan这款工具对web平台执行安全扫描喔~ 如果还有安全测试相关的其他问题,也欢迎随时来私聊我交流呀~ CSDN,知识分享,资源共享,希望和同在CSDN的你共同...
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 442
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签中的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
XSS漏洞钓鱼
weixin_51356351的博客
11-19 450
实验环境 PHPstudy DVWA靶场 实验步骤 重定向钓鱼 1、把当前页面重定向到一个钓鱼页面,例如重定向到百度, <script>document.location.href="http://baidu.com"</script> 2、打开DVWA靶场 选择(XSS)stored 然后F12打开查看器,将输入限制值改的大一点 插入代码则会重定向到百度页面 ...
javascript--防通过ifarme钓鱼
06-02 181
if(window != window.top){ window.top.locaction.href = window.locaction.href } 上面的判断,是验证当前的页面,被iframe嵌套了没有?如果有 就让这个嵌套的页面的,URL地址,等于当前被嵌套的页面的URL地址;即跳转到真正的网站。 感谢“妙味课堂”视频教程! 转载于:ht...
Mylove net 我们手里的金钱只是保持自由的一种工具!-----卢梭
weixin_34380948的博客
04-20 103
创业之路:               http://space.tv.cctv.com/page/PAGE1237532629078449 软考查询:               http://www.ceiaec.org/search/qualify.html   中华英才网:              http://www.chinahr.com/index.asp   学习钓鱼...
IBM Security Appscan漏洞--链接注入(便于跨站请求伪造)
YouXu
03-16 4755
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 •可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 •可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件
一行代码解决iframe挂马
weixin_30394633的博客
01-07 121
相信大多数朋友都是iframe木马的受害者,有朋友的网站被注入了N回iframe,心情可想而知。而且现在ARP攻击,注入iframe也是轻而易举的事,仅局域网里都时刻面临威胁,哎,什么世道。 灵儿曾经在经典论坛上发过贴子:《一行代码解决网站防挂IFRAME木马方案》http://bbs.blueidea.com/thread-2785512-1-1.html ,有不少朋友都联系了灵儿,有的表...
框架注入漏洞
conkeyn的专栏
02-27 5524
  2 详细描述 攻击者可能注入含有恶意内容frameiframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。 解决办法 建议过滤出所有以下字符: [1] |(竖线符号) [2] &amp; (&amp; 符号) [3];(分号) [4] $(美元符号...
防止网页被嵌入框架
weixin_30877493的博客
08-30 61
1try{23  top.location.hostname;45  if(top.location.hostname!=window.location.hostname){67    top.location.href=window.location.href;89  }1011}1213...
浅谈“链接或框架注入
→_→
05-14 2597
漏洞名称: 框架注入、链接注入 描述: 一个框架注入攻击是一个所有基于GUI的浏览器攻击,它包括任何代码如JavaScript,VBScript(ActivX),Flash,AJAX(html+js+py)。代码被注入是由于脚本没有对它们正确验证,攻击者可能注入含有恶意内容frameiframe 标记。 “链接注入”是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为
IBM Security AppScan
最新发布
05-10
IBM Security AppScan是一款用于Web应用程序安全测试的自动化工具,它可以帮助企业发现和修复Web应用程序中存在的安全漏洞和缺陷,从而保护企业的信息系统免受攻击。该工具可以自动进行漏洞扫描、发现弱点和缺陷、分析结果并提供详细的修复建议。 IBM Security AppScan支持多种技术和协议,包括HTML、JavaScript、AJAX、SOAP和XML等,它可以检测Web应用程序中的各种漏洞和安全风险,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等。 除了漏洞扫描功能外,IBM Security AppScan还提供了一个强大的报告功能,可以生成详细的报告,包括漏洞描述、风险评估、修复建议等。这些报告可以帮助企业了解其Web应用程序的安全状况,并采取适当的措施来加强安全防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值