- 博客(7)
- 资源 (12)
- 收藏
- 关注
原创 Command Injection Flaws Attack(WebGoat5.4)
此文为个人练习笔记,包含分析过程的简单思路,不追求逻辑严谨性。植入攻击分很多中,指令植入是比较基本的一种,只要接收的外部参数用与Exce,基本上都有这种风险。如同“Windows程序出现的问题,重启电脑一般能解决70%以上”的说法类似,合理的外部参数的过滤检查能降低90%以上的植入攻击可能。课程介绍了Command Injection、危害及避免措施,练习的时候有两个提示,当下拉框
2015-08-31 14:40:30 1172
原创 软件生命周期中的攻防博弈
大数据的时代,软件几乎深入到人们生活的各个方面,某种意义上可以说,现在是软件的时代。这个大时代下,攻与防,充斥在软件生命周期的各个阶段,时时处处在演绎。1. 信息安全的攻防网络购物,网上金融,网博微信息发布等等已成为现代人生活和交际的重要构成部分,这些信息的安全小到影响人们日常生活,大到关系到国家安全和社会稳定,与每个人息息相关——这些信息是如此的私密和重要,一些不法组织利用这些信
2015-08-31 09:38:32 882 2
原创 Cross Site Tracing (XST) Attacks(跨站跟踪攻击)练习详细步骤(WebGoat5.4)
由于对web编程不是很熟悉,谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。HTTP的Method中有专为调试Web Server连接的(TRACE/TRACK),但正式上线运行的WebServer如果支持Trace/Track方式,则一定存在跨站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(
2015-08-28 16:12:35 2115
原创 XSS与CSRF(XSRF)对比思考
(学习笔记,个人总结,不足之处请多多指导。)XSS和CSRF有很多相似也有很多不同。相似的是他们都能实现身份盗用(冒充),用户信息盗用(盗号)等,不同之处总结如下:1. 原理不同XSS攻击基于HTML注入+社会工程学(欺骗用户点击执行恶意代码)实现攻击;CSRF攻击源于WEB隐式身份验证机制,在浏览网页(或其他操作)时自动完成; 这种机制可以验证
2015-08-27 16:03:07 3298
转载 可以让你少奋斗十年的经验
由于时间较久,来源不详,此处没有给出链接,请作者见谅。第一:不要认为停留在心灵的舒适区域内是可以原谅的。 每个人都有一个舒适区域,在这个区域内是很自我的,不愿意被打扰,不愿意被push,不愿意和陌生的面孔交谈,不愿意被人指责,不愿意按照规定的时限做事,不愿意主动的去关心别人,不愿意去思考别人还有什么没有想到。这在学生时代是很容易被理解的,有时候这样的同学还跟“冷酷”“个性”这些
2015-08-27 09:16:45 483
原创 让思考成为习惯,让学习溶于生活
思考,是一個值得思考的事情;學習,是一種值得學習的事情。遇到事情時,不斷思考能提高你自身的見聞和知識,也能提高你的情商,這個過程也是一個學習的過程。常聽說“生活處處皆學問”,“處處留心皆學問”,同樣的意思但後者更直白些——發現“學問”的重要方式就是“留心”。 每個人都要在社會大學中度過終生,但度過的方式由你自己決定,你可以蹉跎,可以抱怨,但一天就是一天,不會因為你的選擇加快或者減慢
2015-08-21 14:28:52 437
原创 个人发展职业定位思考
在一年多的時間裡,接觸並熟悉了主流軟體測試、管理工具(HP UFT、HP LoadRunner、HP ALM、HP Fortify SCA、HP WebInspect),擴展了對軟體測試的認識度,通過課程講授、測試中心測試專案參與以及與開發經驗的結合思考等方式。 個人感覺測試和開發的關係融洽點還是比較多的——單元測試和集成測試基本都是開發者團隊完成;開發經驗可以用於系統測試結果的分
2015-08-21 14:27:26 1736
kali工具burpsuit(1.7)破解版
2018-01-03
OWASP Top 10 2017-RC1-4e2d65877248-V1.0.pdf
2017-07-06
软件安全测试·DoS·HTTP慢速攻击
2017-06-22
常用的权威漏洞库(在线查询)
2017-06-02
数据过滤对系统安全的必要性及过滤示例
2017-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人