web安全
文章平均质量分 66
八十三
这个作者很懒,什么都没留下…
展开
-
对于web安全测试的一些感悟
起初对于web安全性测试有了很大的误区,作为一个菜鸟,我认为做安全性测试首先要以黑客的身份去看网站,找寻漏洞,进行入侵。为此,我找了很多家网站进行学习,如习科论坛等。也在项目中进行了尝试,找了个xss 、sql注入之类的点,觉得这就是安全测试。后来发现我这样做对于测试来说有很大的差别。基本上不能保证被测系统的安全性。在和同事的讨论中,对于测试有了一点新的认知。类似于功能测试,要保证每个点都不存原创 2013-11-29 13:58:15 · 3540 阅读 · 0 评论 -
CSRF原理、测试方法
CSRF原理网上有图,直接见图。以下是我对于CSRF的理解。首先,这是一个cookies漏洞(身份验证?),用户访问了危险网站B后,B会访问偷偷的让用户访问正规网站A。正规网站对身份进行校验后(通过cookies)认为这是同一个用户,则进行操作。 关键点:1. 用户要访问正常网站2. 在没有关闭网站的情况下(或者session未失效),在打开网站B(危险原创 2013-11-29 15:16:09 · 5378 阅读 · 1 评论 -
CSRF原理、测试方法(续)
刚才拿公司内网验证了下,写了个简单的测试页面看看考勤时间 考勤ID: 日期: textfield: 上班时间时: 上班时间分: 下班时间时: 下班时间分: 是否今日: 然后抓了下请求模拟页面请求内容:POST /newiweb/kqgl/dealKqgl.do?action=WorkTimeInto HTTP/1.1原创 2013-11-29 17:14:01 · 1298 阅读 · 0 评论