- 博客(8)
- 收藏
- 关注
RSS订阅原创 主要的Web攻击类型和防御方法
遍历是指按照一定的顺序依次访问数据结构中的每个元素的过程。击穿攻击(Web Hammering)指的是攻击者在很短时间内对同一网络资源发起大量并发请求,旨在超出系统的负载上限从而使其发生饱和,造成效率下降甚至瘫痪。总的来说,要采用多层防御 -- 从底层资源主机,到系统架构,再到应用层的负载控制。缓冲区溢出(Buffer Overflow):攻击者通过输入过长的输入,超过程序缓存区大小,来执行任意代码。总的来说,要实施完善的身份认证机制,合理配置会话管理, 同时增强用户的安全意识,方可有效防范相关攻击。
2023-05-16 23:51:29
700
原创 OWASP TOP 10 漏洞 2013
未验证的重定向和转发Unvalidated Redirects and Forwards它指的是应用程序中存在未经验证的重定向或转发,攻击者可以利用这个漏洞来欺骗用户,使其访问恶意站点或执行恶意操作。然后,必须对每个角色分配适当的权限,以限制用户可以执行的操作。定期安全审计和漏洞扫描:对于 Web 应用程序,定期的安全审计和漏洞扫描是必不可少的,可以及时发现和修复潜在的 XSS 漏洞,提高 Web 应用程序的安全性。攻击者可以通过查找公开的漏洞数据库,找到应用程序中使用的组件的漏洞,然后开展攻击。
2023-04-03 21:28:02
253
原创 OWASP TOP 10 漏洞 2017
为了解决这个问题,应该确保在日志记录和监控过程中,敏感信息不会被记录或存储,或者在记录和存储时得到适当的保护。失效的身份认证 Broken Authentication 是指应用程序中的身份认证机制被攻击者利用或者绕过,导致攻击者可以通过各种手段获取未经授权的访问应用程序的权限,从而可以窃取敏感信息、进行恶意操作等。定期安全审计和漏洞扫描:对于 Web 应用程序,定期的安全审计和漏洞扫描是必不可少的,可以及时发现和修复潜在的 XSS 漏洞,提高 Web 应用程序的安全性。
2023-04-03 20:59:49
364
原创 OWASP TOP 10 2021
攻击者可以利用这些漏洞或错误来篡改应用程序中的数据或代码,从而破坏应用程序及数据的完整性。失效的访问控制是指应用程序中的访问控制措施没有被正确实施或没有被充分考虑,从而导致攻击者能够绕过访问控制措施,访问未授权的资源和执行未授权的操作。注入漏洞是指攻击者可以通过注入恶意代码或指令来攻击应用程序的漏洞。危险和过时的组件常是由于使用具有已知安全漏洞的第三方组件或库而导致的,攻击者可以利用这些漏洞来攻击应用程序。安全配置错误通常是由于不正确的配置或管理而导致的,攻击者可以利用这些漏洞来攻击应用程序。
2023-04-03 20:17:19
159
原创 渗透测试人员应遵守的法律法规
首先,遵守法律法规和道德准则可以保护渗透测试人员自身的安全和利益。如果违反法律或道德准则,渗透测试人员可能会受到法律制裁或伦理谴责,这将导致他们失去工作、执照或信誉,并面临法律风险。因此,渗透测试人员需要遵守所有相关的法律和规定,以确保他们不会因为自己的行为而遭受后果。其次,遵守法律法规和道德准则可以确保渗透测试人员的客户和受影响方的利益不受损害。渗透测试人员的工作是为客户提供安全咨询和服务,而不是为了破坏或盗窃。如果渗透测试人员违反法律或道德准则,可能会危及客户和受影响方的利益。
2023-03-21 22:11:02
1365
原创 渗透测试过程和方法
渗透测试是一项安全演习,网络安全专家模拟黑客攻击查找和利用计算机系统中的漏洞。模拟攻击的目的是识别攻击者可以利用的系统防御中的薄弱环节,通过渗透测试找出计算机系统、Web 应用程序或网络的漏洞。渗透测试是一项专业技术活动,必须经过被测试信息系统有关组织或部门的授权才能进行。
2023-03-19 05:35:47
116
原创 如何使用 NMAP 命令进行网络扫描
Nmap(“Network Mapper”)是一个免费的开源(许可)实用程序,用于网络发现和安全审计。许多系统和网络管理员还发现它对网络清单、管理服务升级计划以及监控主机或服务正常运行时间等任务很有用。Nmap 以新颖的方式使用原始 IP 数据包来确定网络上可用的主机、这些主机提供的服务(应用程序名称和版本)、它们运行的操作系统(和操作系统版本)、数据包过滤器/防火墙的类型正在使用,以及许多其他特性。它旨在快速扫描大型网络,但对单个主机也能正常工作。
2023-03-15 22:23:21
15760
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人