![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全
文章平均质量分 78
幸福女孩小鲤鱼_lizzy
985院校研究生,从事安全行业的研发,不断学习,不断成长.
展开
-
漏洞扫描工具汇总
漏洞扫描器可以快速帮助我们发现漏洞,如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具。Fortify代码审计工具Fortify SCA (Fortify Static Code Analyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并生成报告。Burp SuiteAWVSAppScanDependen原创 2021-07-21 14:28:32 · 6200 阅读 · 0 评论 -
命令执行漏洞
命令执行漏洞原理命令执行漏洞指攻击者可以随意调用执行操作系统命令。注:与代码执行漏洞区分开,代码执行漏洞是靠执行脚本代码调用操作系统命令,用户提交的参数被服务器当作动态代码执行或当作一个被包含的文件,如:eval(system('rm -rf /tmp/');); eval($_GET['cmd']);任何脚本语言都可以调用操作系统命令。php提供部分函数用来执行外部应用程序,system()、shell_exec()、exec()、proc_open()、shell_exec() 和passthr原创 2021-07-19 10:33:18 · 245 阅读 · 0 评论 -
钓鱼攻击与防御
前言钓鱼邮件攻击是社会工程学攻击中一种常见的手段,其目的是欺骗用户进行一些操作,最终得到受害用户相关信息,如账号密码、银行卡号、身份证号、金钱等。一般来说,钓鱼邮件从后续的攻击手段来说,可以分为两类:1)纯粹利用社会工程学手段对用户进行欺骗,和电信诈骗手段类似。2)诱导用户点击一些链接,然后使用CSRF、XSS、伪造登录网站等技术方式来进行进一步攻击。钓鱼冒充方式1)利用链接的显示与实际不同进行欺诈这种欺骗方法很好理解,一个超链接有两部分,一部分是显示出来的文本,另一部分是这个指向的URL,通常原创 2021-07-15 16:42:38 · 799 阅读 · 0 评论 -
SQL注入漏洞
SQL注入原理SQL注入漏洞形成原因:用户输入的数据被SQL解释器执行,一般是直接拼接SQL造成的。SQL注入的危害:脱库,修改数据,管理数据库,写入文件,泄露用户信息,执行命令等。示例:原始SQL:select * from users where username='$username' and password='$password'用户提交数据:$username = 1’ or ‘1’ = ‘1; $password = 1’ or ‘1’ = '1select * from us原创 2021-07-14 16:36:18 · 287 阅读 · 0 评论 -
CSRF攻击与防御
CSRF原理CSRF:Cross-site request forgery,跨站请求伪造,也被称为 one-click attack / session riding,缩写: CSRF 或者 XSRF。攻击方式:挟制用户在当前已登录的Web应用程序上执行非本意的操作。简单理解为盗用用户的身份,发送恶意请求,此攻击容易造成个人隐私泄露和财产安全。与跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。浏览器在接收到这些攻击性代码后,根据网站B的原创 2021-06-09 11:46:26 · 168 阅读 · 0 评论 -
XSS构造与防御
XSS原理XSS构造方法https://blog.csdn.net/qq_33605106/article/details/79758230http://www.freebuf.com/column/153458.htmlxss<script>
XSS防御措施https://blog.csdn.net/strike2206/article/details/...原创 2018-11-01 17:58:19 · 2525 阅读 · 1 评论