安全威胁
文章平均质量分 75
花花浪客
这个作者很懒,什么都没留下…
展开
-
通过pound+stunnel查看HTTPS内容
现在很多的产品都会使用HTTPS协议在客户端与服务器端进行交互,导致简单的抓取网络流量无法看到具体的内容。为此我先试了安装stunnel。在CentOS下面stunnel直接使用yum就可以安装了,安装好之后配置/etc/stunnel/stunnel.conf为: ;原创 2011-10-11 11:58:04 · 2068 阅读 · 1 评论 -
XSS中的script标签与img标签
我们知道XSS漏洞最常见的检测方式就是输入alert(‘xss’)来确认,大部分人在测试的时候就是直接使用类似alert(‘xss’)这样的输入,如果发现有弹出对话框就说明存在漏洞,如果没有对话框就认为不存在漏洞。那么,只使用标签是否就足够了呢?我们知道另外也有一些其他的方式比如等等,那么这些方式之间有没有什么区别呢?看看下面两个例子,第一个使用的alert(‘xss’): f原创 2012-05-12 20:47:51 · 10225 阅读 · 3 评论 -
编译OWASP WebScarab (续)
突然发现现在的OWASPWebScarab在引入OpenID相关的模块后,很多所依赖的包都没有包含在下载的源代码里面,导致编译有些问题。研究了一下之后把目前的编译过程记录下来。另外WebScarab支持MAVEN和ANT两种编译方式,MAVEN的编译表示毫无鸭梨。但是MAVEN的缺点是必须要能够连接到internet去自动下载依赖的包,这让我很不爽,因为我的很多环境是无法连上internet的,所原创 2012-07-27 13:37:42 · 2267 阅读 · 0 评论 -
编译安装OWASP WebScarab
Sorry, 现在发现文档下面所说的编译方法已经不适用新的WebScarab了,新的编译方法参考另一篇文章:http://blog.csdn.net/eatmilkboy/article/details/7793244最近在使用WebScarab的时候发现有个bug,这个bug本身很容易修复,只是为此无法使用直接下载的WebScarab的binary,必须重新编译一下。特把编译过程原创 2012-03-23 12:21:14 · 2965 阅读 · 0 评论 -
WebGoat教程解析——HTTP Response Splitting
发现很多人在学习WebGoat上的HTTP Splitting教程之后有些疑惑,所以我也就在这里讨论一下这个问题。HTTP Response Splitting翻译为HTTP应答拆分,是利用Web应用程序缺乏有效的输入验证,允许攻击者将CR 和LF 字符插入到应用程序响应的报头,从而将服务器的回应“拆分”成两个不同的HTTP 消息。攻击者通过发送一经过精心构造的HTTP请求,试图完全控制第原创 2012-10-11 16:34:02 · 15283 阅读 · 3 评论 -
Web应用里的HTTP参数污染(HPP)漏洞
HPP是HTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。下面对这个漏洞的原理做一下详细解释。 首先讲下HTTP的参数处理原创 2011-09-08 19:24:11 · 24768 阅读 · 1 评论 -
为WebGoat添加课程——HTTP Parameter Pollution
WebGoat本身有专门一个课程用来介绍如何添加一个新的课程,但是估计是这个课程长期没有人维护的关系,我再使用WebGoat 5.4试图添加一个课程的时候发现有些细节的地方与WebGoat里面介绍的步骤有些不一致或者是WebGoat里面没有提到的,所以把我的步骤记录下来。 我添加的课程是HTTP参数污染(HTTP Parameter Pollution, HPP)这个漏洞相关的课程。关于这原创 2012-11-07 14:58:55 · 4635 阅读 · 0 评论 -
WebGoat教程解析——Hijack a Session
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。下面把我的解法分享下:这个课程就是说因为这个Web应用用来生成会话标识的算法不够随机,所以很容易被预测,从而要求我们发现会话标识生成的规律并且使用暴力破解的办法原创 2012-11-30 11:12:56 · 8669 阅读 · 0 评论