煜铭2011

探索企业信息安全建设,精通安全技术,欢迎交流^_^

Informix安全配置参考

0x01 账号口令 配置说明: 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 1 、 参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 direc...

2016-10-26 05:22:57

阅读数:420

评论数:0

XSS跨站点脚本的介绍和代码防御

0x01 介绍 在以下情况下会发生跨站点脚本编制 (XSS) 脆弱性: [1] 不可信数据进入 Web 应用程序,通常来自 Web 请求。 [2] Web 应用程序动态生成了包含此不可信数据的 Web 页面。 [3] 页面生成期间,应用程序不会禁止数据包含可由 Web 浏览器执行的内容,例如 Ja...

2016-10-23 10:46:14

阅读数:3099

评论数:3

Linux 系统信息收集常用命令

0x01 常用命令 1 查看系统版本 cat /etc/issue cat /etc/*-release cat /etc/lsb-release cat /etc/redhat-release 2 查看内核版本 cat /proc/version uname -a u...

2016-10-23 07:53:51

阅读数:1633

评论数:0

web安全概要图

2016-10-21 08:09:23

阅读数:645

评论数:0

tomcat安全配置参考

0x01 基本配置 1 删除默认目录      安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件  rm -rf /srv/apache-tomcat/webapps/* 2 隐藏tomcat版本信息 修改$CATALINA_HOME/conf...

2016-10-15 10:21:52

阅读数:3283

评论数:0

Centos安全配置参考

一、系统安全记录文件 #more  /var/log/secure 统计访问IP及次数。 #grep  -oP '(\d+\.){3}\d+' /var/log/secure |sort |uniq -c 二、启动和登录安全性 1.用户口令  修改改密码长度/etc/login.defs  #vi...

2016-10-13 19:43:19

阅读数:580

评论数:0

神器nmap的web版-Rainmap Lite

0x00 前言     Rainmap Lite 是一款nmap对应Web应用程序,它允许用户从他们的手机/平板电脑/网络浏览器启动Nmap扫描!不像它的前身[1] ,,Rainmap Lite 并不依赖特殊服务(RabbitMQ,PostgreSQL,Celery, supervisor等),它...

2016-10-13 19:30:30

阅读数:1058

评论数:0

OWASP 测试指南 4.0-OWASP测试框架

本节主要介绍可用于组织或企业进行应用测试的典型的测试框架。它可以被看作是包含技术和任务的一个参考框架,适用于软件开发生命周期(SDLC)的各个阶段。公司和项目团队可以使用这个模式,为自己或服务供应商开发测试框架和范围测试。这个框架不应该被看作是指令性的,但作为一个灵活的做法,可以延长和变形,以适应...

2016-10-12 17:05:46

阅读数:2325

评论数:0

OWASP 测试指南 4.0-安全需求测试推导

如果你想要有一个成功的测试项目,你需要知道测试的目的是什么。这些目的由安全要求指定。这章详细讨论了如何通过从适用标准和准则和积极和消极应用程序要求中推导出安全测试并记录安全测试要求。它也谈论安全要求如何有效地在SDLC期间使用安全测试,如何使用安全测验数据有效地处理软件安全风险。 0x01 测试...

2016-10-12 12:41:26

阅读数:1094

评论数:0

OWASP 测试指南 4.0-测试技术解释

该部分提出可用于创建测试工程的各类高级测试技术。这里针对这些技术的具体实现方法并没有进行详细讨论,详情可参见后文。该部分旨在为下个后文所提出的测试框架提供上下文并突出某些技术在选择使用时应考虑的优点以及缺点。特别包括: 人工检查及复查 软件威胁建模 代码复查 渗透测试 0x01 人工检查及复查  ...

2016-10-12 12:24:20

阅读数:1139

评论数:0

OWASP 测试指南 4.0-测试原则

对于开发一个剔除软件安全漏洞的测试方法,存在一些常见的误解。本章所涉及一些基本原则,专业人士在进行软件安全漏洞测试时应加以考虑。 0x01 没有银弹(SilverBullet)       当你试图思考安全扫描器或应用防火墙既不能提供各类攻击防御和辨别各类安全问题的时候,实际上不存在一下子就能解决...

2016-10-12 11:59:44

阅读数:673

评论数:0

OWASP 测试指南 4.0-OWASP 测试项目

OWASP测试项目已经发展了许多年。通过这个项目,我们希望帮助人们了解自己的Web应用程序, 什么是测试 , 为什么要测试 , 什么时间 , 在哪里 以及  如何测试 WEB应用程序。这个项目是发布一个完整的测试框架,而不是仅仅提供一个简单的漏洞检查列表或者问题的简单药方。人们可以根据需要建立自己...

2016-10-12 11:50:31

阅读数:1192

评论数:0

OWASP安全编码规范快速参考的术语

0x01 外部的参考资料 1. 引用的参考资料 Sans and TippingPoint "The Top Cyber Security Risks" http://www.sans.org/top-cyber-security-risks/   Web App...

2016-10-09 20:22:28

阅读数:1022

评论数:0

OWASP安全编码规范快速参考指南

0x00 原则 概览      开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的 保密性 ,  完整性 ,和 可用性 ,以确保业务的成功运作。该目标通过实施 安全控制 来实现。本指南重点介绍具...

2016-10-09 20:09:46

阅读数:2711

评论数:0

挂马攻击的介绍和防御

0x01 介绍         挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常是通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载...

2016-10-08 05:59:26

阅读数:581

评论数:0

IIS 文件枚举解析漏洞

0x01 介绍          1 Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器。IIS7/7.5当以CGI的方式运行PHP时,在处理PHP文件路径的解析时存在问题。如果网站允许上传文件,而且上传文件路径可得到,远程攻击者可...

2016-10-08 05:54:26

阅读数:3185

评论数:0

PHP 远程文件包含的介绍和代码防御

0x01 介绍        PHP 应用程序接收到外部输入,但在“require”、“include”或类似函数中使用该输入之前对其进行了错误的限制。在 PHP 的特定版本和配置中,这样就使攻击者能够指定远程位置的 URL,以便使用软件从该位置获取要执行的代码。在其他情况下,攻击者可通过与路径...

2016-10-07 20:10:31

阅读数:1386

评论数:0

SSI 注入的介绍和代码防御

0x01 介绍 当符合下列条件时,攻击者可以在 Web 服务器上运行任意命令: A. Web 服务器已支持 SSI(服务器端包含)。 B. Web 应用程序在返回 HTML 页面时,嵌入用户输入。 C. 参数值未进行输入清理。 例如,如果脚本接收文本输入,供 Web 服务器稍后处理...

2016-10-07 19:53:59

阅读数:2569

评论数:0

XQuery 注入的介绍与代码防御

0x01 介绍       XQuery是XPath的超集,如果Xpath只是一个查询语言,XQuery是一个程序语言,可以声明自定义的功能、变量等等。类似XPath注入,XQuery注入在没有验证用户输入的情况下也会发生。一个程序使用用户名查询博客实体,后端使用XQuery查询XML数据。 ...

2016-10-07 15:27:14

阅读数:713

评论数:0

系统命令注入的介绍与代码防御

0x01 介绍        该软件使用受外部影响的输入来构造操作系统命令的全部或一部分,但未能对可能修改所需操作系统命令的元素进行无害化处理。这样一来,攻击者就可以直接在操作系统上执行意外的危险命令。在攻击者没有对操作系统的直接访问权的情况下(例如在 Web 应用程序中),此弱...

2016-10-07 15:23:00

阅读数:4087

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭