- 博客(15)
- 收藏
- 关注
RSS订阅原创 appscan 9.0.3.12 版本下载
9.0.3.12-安装版 18-Mar-2019http://download2.boulder.ibm.com/sar/CMA/RAA/085hp/0/9.0.3.12-AppScan_Setup.exe9.0.3.12-升级补丁 09-May-2019http://download2.boulder.ibm.com/sar/CMA/RAA/088w1/0/9.0.3.12...
2020-05-03 09:40:51
1150
2
转载 web安全--Flash跨域数据劫持漏洞
0×01,背景很多上传文件的后端逻辑在实现时,仅仅验证了文件后缀名和Content-Type,没有对上传文件的内容进行验证。通常情况下这样的处理逻辑仅仅是不严谨,不会造成太大的安全隐患。但经过笔者测试,发现object标签在包含flash文件时没有对嵌入的文件后缀进行判断。也就是说,只要文件内容包含了正常的flash文件代码,就能够被object标签成功加载并执行。而ActionScript中...
2020-05-03 06:13:24
1329
转载 web安全-AppScan自动化漏洞扫描工具
AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan...
2020-05-02 15:59:30
1243
转载 web安全--JSON 注入
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍...
2020-05-02 13:52:12
4974
2
转载 web安全--JSONP注入实践
JSONP注入实践Stbird专注于互联网信息安全的科技媒体http://www.mottoin.com1 人赞同了该文章原文链接:http://www.mottoin.com/95682.html---------------------------------------------------------------------------------------...
2020-05-02 13:34:09
590
转载 web安全--CSRF绕过
你们都知道CSRF是什么,如果不是的话,您就不会出现在我的博客上。今天,在本文中,我将解释对测试网站的CSRF保护的四个简单测试,这些测试可能会导致CSRF绕过,这反过来可以为您赚钱。1. 在帐户之间使用CSRF令牌最简单和最致命的CSRF绕过是当应用程序不验证CSRF令牌是否绑定到特定帐户而仅验证算法时。为了验证这一点从帐户A登录到应用程序转到其密码更改页面使用b...
2020-05-02 11:56:39
759
1
转载 web安全--Xml外部实体注入漏洞(XXE)与防护
Xml外部实体注入(XXE)除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示:DTD的作用是定义XML文档的合法构建模块,可以...
2020-05-02 11:49:35
1421
转载 web安全--xml注入
认识XML DTD XML注入 XPath注入 XSL和XSLT注入前言前段时间学习了.net,通过更改XML让连接数据库变得更方便,简单易懂,上手无压力,便对XML注入这块挺感兴趣的,刚好学校也开了XML课程,忍不住花时间研究了一下首先认识XMLXML有两个先驱——SGML(标准通用标记语言)和HTML(超文本标记语言),这两个语言都是非常成功的标记语言。SGML多用于科...
2020-05-02 11:41:15
285
转载 web安全--XML 注入的介绍与代码防御(转,挺不错)
0x01 介绍一些 Web 应用程序将 XML 文件用于各种用途,从配置到完整数据库功能。用户输入通常会传播到这些文件中,进而定制配置或更新应用程序数据库。如果在使用用户输入之前未清理或验证错误字符,那么这会成为安全隐患。当未采取任何预防措施时,恶意用户可以变更配置指令,添加新用户(如果用户列表通过 XML 文件进行维护),获取更高的特权等等。以下证明易受攻击的 J2EE 应用程...
2020-05-02 11:30:16
501
转载 web安全--CSRF攻击原理及防御方法
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存...
2020-05-02 11:16:15
286
转载 Web安全--点击劫持(ClickJacking)
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;iframe覆盖直接示例说明1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面:&...
2020-05-02 11:00:00
169
转载 web安全--点击劫持攻击与防御技术简介
引言:昨天搞google iframe时,接触到了点击劫持(clickjacking)的概念。以前看《图解HTTP》的时候也接触到了这个概念【大学时候还接触到SQL注入、XSS跨站脚本攻击(Cross Site Scripting),跨站请求伪造(Cross-site request forgery,简称CSRF或XSRF),服务器端请求伪造SSRF等相关概念】。今天查了相关资料,发现一篇好文章...
2020-05-02 10:34:05
667
翻译 Java中实现多线程顺序执行
Java多线程,一直没搞懂同步的作用!一直以为同步的时候只要锁住对象就能顺序执行了:public class Test { final static byte[] b = new byte[0]; public static void main(String[] args) { Test t = new Test(); t
2016-09-11 19:45:13
293
1
转载 synchronized实现线程锁
这里通过三个测试类阐述了synchronized应用的不同场景 首先是最基本的synchronized Method的使用package com.jadyer.thread.sync; /** * Synchronized Method Test * @see ====================================================
2016-09-11 13:32:01
237
转载 JAVA多线程实现和应用总结
本文从其他网友出转载,方便学习1.JAVA多线程实现方式JAVA多线程实现方式主要有三种:继承Thread类、实现Runnable接口、使用ExecutorService、Callable、Future实现有返回结果的多线程。其中前两种方式线程执行完后都没有返回值,只有最后一种是带返回值的。2.继承Thread类实现多线程继承Thread类的方法尽管被我列为一种多线程实
2016-09-08 20:25:07
145
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人