- 博客(2)
- 收藏
- 关注
RSS订阅原创 hvv面试题目总结
逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误。拿支付漏洞来说,简单思路有价格修改,支付状态修改,数量最大值溢出,订单替换,支付接口替换,四舍五入,越权支付等等。拿登录来说,修改状态信息,密码修改跳过验证等等。1)密码允许暴力破解、2)存在通用型找回凭证、3)可以跳过验证步骤、4)找回凭证可以拦包获取。1)会话固定攻击、2)Cookie 仿冒。只要得到 Session 或 Cookie 即可伪造用户身份。1)验证码允许暴力破解、
2023-06-08 14:52:15
1063
1
原创 文件上传(快速了解)
文件头检测:在文件上传过程中,检查文件的真实类型。IIS 6.0文件解析:修复IIS 6.0中与文件解析相关的漏洞,禁止直接访问上传的可执行文件,限制对上传文件的执行权限。IIS 6.0目录解析:修复IIS 6.0中与目录解析相关的漏洞,确保只解析所需的文件类型,并限制可执行文件的解析。IIS 6.0默认解析:修复IIS 6.0中默认解析的漏洞,确保只有所需的文件类型被解析,禁止解析其他类型的文件。文件上传验证:实施严格的文件类型验证和白名单控制,只允许上传可信的文件类型,拒绝上传具有潜在危害的文件。
2023-06-07 23:47:42
113
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人