web安全
文章平均质量分 82
jimmyleeee
从事应用安全十余年,一直在努力......
展开
-
API安全
本文从整体介绍了API的发展,API的安全,以及API安全的最佳实践和工具。原创 2023-09-20 17:23:17 · 551 阅读 · 0 评论 -
Java如何获取一个文件的MIME-TYPE
在介绍文件上传漏洞时,介绍了针对输入的文件需要判断:文件大小、文件扩展名、文件名称还有文件类型。其中关键的就是检测文件的内容的类型,如果避免一些不符合实际需求的内容上传就是其中最关键的,探测准确的内容类型,可以预防上传恶意代码或者恶意文件。原创 2023-06-16 18:11:25 · 3248 阅读 · 0 评论 -
富文本输出如何避免XSS
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。原创 2023-05-12 17:12:17 · 2867 阅读 · 1 评论 -
nmap的用法大全
Nmap是一款比较常用的开源工具,可以从https://nmap.org/下载,它可以用来探测目标机器开放了哪些端口,使用的操作系统类型和启用了哪些服务,同时,可以针对具体的服务发起一些枚举攻击以及漏洞扫描,并且根据漏扫发现的漏洞使用某个CVE发起攻击。本文主要对一些常用的nmap命令进行说明,并且针对一些功能举行实例说明。原创 2022-11-08 21:31:05 · 3677 阅读 · 0 评论 -
常用的nmap命令
常用的nmap命令原创 2022-10-28 17:59:46 · 645 阅读 · 0 评论 -
Java正则表达式find,lookingAt与matches
Java正则表达式find,lookingAt与matches的区别原创 2022-10-25 18:34:19 · 503 阅读 · 0 评论 -
CheckMarx与SonarQube集成
这是一篇关于如何在SonarQube集成CheckMarx的介绍文章。原创 2022-08-22 16:33:52 · 811 阅读 · 0 评论 -
应用安全系列之三十七:日志注入
用户输入的参数未做任何验证直接写入日志文件,导致攻击者可以通过特殊字符(\r \n)在日志中注入新的日志条目,破坏系统日志的完整性。例如:test failed to log in. 如果test是可以控制的,就可以通过输入(admin login successfully.\r\n test)将日志修改为:admin login successfully.\r\n Info:test failed to log in. 就注入了一条日志。 一旦 日志的完整性没法保障,那么,会影响它作为证据的有效性。日志原创 2022-07-05 15:19:28 · 4622 阅读 · 0 评论