2015年08月_jntcf

12月 11月 10月 09月 08月

原创 Command Injection Flaws Attack（WebGoat5.4）

此文为个人练习笔记，包含分析过程的简单思路，不追求逻辑严谨性。植入攻击分很多中，指令植入是比较基本的一种，只要接收的外部参数用与Exce，基本上都有这种风险。如同“Windows程序出现的问题，重启电脑一般能解决70%以上”的说法类似，合理的外部参数的过滤检查能降低90%以上的植入攻击可能。课程介绍了Command Injection、危害及避免措施，练习的时候有两个提示，当下拉框

2015-08-31 14:40:30 1172

原创软件生命周期中的攻防博弈

大数据的时代，软件几乎深入到人们生活的各个方面，某种意义上可以说，现在是软件的时代。这个大时代下，攻与防，充斥在软件生命周期的各个阶段，时时处处在演绎。1. 信息安全的攻防网络购物，网上金融，网博微信息发布等等已成为现代人生活和交际的重要构成部分，这些信息的安全小到影响人们日常生活，大到关系到国家安全和社会稳定，与每个人息息相关——这些信息是如此的私密和重要，一些不法组织利用这些信

2015-08-31 09:38:32 882 2

原创 Cross Site Tracing (XST) Attacks（跨站跟踪攻击）练习详细步骤（WebGoat5.4）

由于对web编程不是很熟悉，谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。HTTP的Method中有专为调试Web Server连接的（TRACE/TRACK），但正式上线运行的WebServer如果支持Trace/Track方式，则一定存在跨站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法，“此方法用于调用已请求消息的远程、应用层回送（

2015-08-28 16:12:35 2115

原创 XSS与CSRF（XSRF）对比思考

（学习笔记，个人总结，不足之处请多多指导。）XSS和CSRF有很多相似也有很多不同。相似的是他们都能实现身份盗用（冒充），用户信息盗用（盗号）等，不同之处总结如下：1. 原理不同XSS攻击基于HTML注入+社会工程学（欺骗用户点击执行恶意代码）实现攻击；CSRF攻击源于WEB隐式身份验证机制，在浏览网页（或其他操作）时自动完成；这种机制可以验证

2015-08-27 16:03:07 3298

转载可以让你少奋斗十年的经验

由于时间较久，来源不详，此处没有给出链接，请作者见谅。第一：不要认为停留在心灵的舒适区域内是可以原谅的。　　　　每个人都有一个舒适区域，在这个区域内是很自我的，不愿意被打扰，不愿意被push，不愿意和陌生的面孔交谈，不愿意被人指责，不愿意按照规定的时限做事，不愿意主动的去关心别人，不愿意去思考别人还有什么没有想到。这在学生时代是很容易被理解的，有时候这样的同学还跟“冷酷”“个性”这些

2015-08-27 09:16:45 483

原创让思考成为习惯，让学习溶于生活

思考，是一個值得思考的事情；學習，是一種值得學習的事情。遇到事情時，不斷思考能提高你自身的見聞和知識，也能提高你的情商，這個過程也是一個學習的過程。常聽說“生活處處皆學問”，“處處留心皆學問”，同樣的意思但後者更直白些——發現“學問”的重要方式就是“留心”。每個人都要在社會大學中度過終生，但度過的方式由你自己決定，你可以蹉跎，可以抱怨，但一天就是一天，不會因為你的選擇加快或者減慢

2015-08-21 14:28:52 437

原创个人发展职业定位思考

在一年多的時間裡，接觸並熟悉了主流軟體測試、管理工具（HP UFT、HP LoadRunner、HP ALM、HP Fortify SCA、HP WebInspect），擴展了對軟體測試的認識度，通過課程講授、測試中心測試專案參與以及與開發經驗的結合思考等方式。個人感覺測試和開發的關係融洽點還是比較多的——單元測試和集成測試基本都是開發者團隊完成；開發經驗可以用於系統測試結果的分

2015-08-21 14:27:26 1736