关注
分享
沙漏无语
沙漏是时间的诗篇,是岁月的印记,承载着过往与未来。
展开
-
常见安全漏洞修复方法
1. 会话 cookie 中缺少 HttpOnly 属性添加30true 2. 会话标识未更新目前是为了安全测试屏蔽了登录页面添加验证码引起的,如果验证码不屏蔽就不会出现此问题。3. 直接访问管理页面扫描的时候存在,是因为你们的策略和我们的包命名冲突,默认遇到admin就实行你们的策略,但是实质系统中这个问题不存在 4. Aut原创 2014-11-20 15:55:37 · 2721 阅读 · 0 评论 -
已解密的登陆请求
1、已解密的登陆请求严重性:高类型:应用程序级别测试WASC 威胁分类:应用程序隐私测试CVE 标识:不适用CWE 标识:523安全风险:可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息负责安全方面的工程师提供了两种方案供我们选择一、通过SSL传输密码转载 2015-10-08 14:26:05 · 6447 阅读 · 2 评论 -
跨站点请求伪造
appscan修订建议:如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie 的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie 的“同源策略”,因此,攻击者无法伪造一个虚假的请求,让服务器误以为真。 攻转载 2015-10-08 13:54:21 · 737 阅读 · 0 评论 -
基于 DOM 的跨站点脚本编制
原因:在代码中添加了script 代码段 Hello! Your age is: var position=document.URL.indexOf("age=")+4; document.write(document.URL.substring(position,document.URL.lengt转载 2015-10-08 14:06:39 · 10161 阅读 · 0 评论 -
xss漏洞修复
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS攻击 XS原创 2015-11-09 18:41:42 · 11680 阅读 · 0 评论 -
Web安全测试之XSS
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。阅读目录转载 2015-11-12 09:29:03 · 540 阅读 · 0 评论