信息安全学习笔记——软件漏洞

最新推荐文章于 2020-08-21 18:26:05 发布
最新推荐文章于 2020-08-21 18:26:05 发布
阅读量2.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyaninglm/article/details/11907611
版权

学习使用的书籍:《暗战亮剑——软件漏洞发掘与安全防范实践》

 

 

第一章 软件漏洞的分类:

 

1.缓冲区溢出漏洞

2.整数溢出漏洞

3.格式化字符串漏洞

4.指针覆盖漏洞

5.SQL注入漏洞

6.Bypass漏洞(绕过漏洞)

7.信息泄漏漏洞

 

第二章 建立软件漏洞的发掘环境:

 

很多机器没有IIS,我们可以使用XAMPP来代替,可以从http://download.csdn.net/detail/bubujie/3772362 网站上下载,下载安装完成后,将你的网站程序文件放到XAMPP程序的安装目录下的htdocs文件目录下,在浏览器中输入网址“http://127.0.0.1/你网站程序的名字”,就可以访问了

 

 

 

第三章 文字处理软件的漏洞剖析

 

 尽可能详细的阅读软件的使用说明书,了解软件的全部功能,发现软件使用过程中的限制问题。这就是主动功能测试的思想。

 

第四章 远程服务型软件漏洞

 

明文分析--

WinSock Expert

Acunetic Web Vulnerability Scanner

非明文分析——

WireShark

FTP安全测试工具——

Infigo FTPStress Fuzzer

 

 

 

 

更新至2013.9.28
shiter
关注
信息安全之路入坑指南.pdf
09-18
作者在文章中也指出信息安全知识更新速度快的特点,因此学习过程中应该关注最新技术动态,并提到了一些具体的技能和知识点,如二进制漏洞学习、代码审计、Fuzzing技术等。这些建议都是为了让初学者能够快速地掌握...
软件漏洞概述
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-28 6741
文章目录一、软件漏洞的概念1、信息安全漏洞简述2、软件漏洞3、软件漏洞概念4、软件漏洞的成因分析二、软件漏洞标准化管理1、软件漏洞分类2、软件漏洞分级3、安全漏洞管理规范 一、软件漏洞的概念 1、信息安全漏洞简述 信息安全漏洞是信息安风险的主要根源之一,是网络攻防对抗中的主要目标。由于信息系统漏洞的危害性、多样性和广泛性,在当前网路空间博弈中,漏洞作为一种战略资源被各方所积极关注。 对于信息安全漏洞的不同认识有以下三个主要的共同特点: 漏洞是信息系统自身的弱点或缺陷。 漏洞存在环境通常是特定的。 漏洞具有
软件漏洞发觉与防范的学习(二)
lcygloria的专栏
04-14 1062
接着上篇软件漏洞分类接着写。   2.整数溢出漏洞 这个相对比较容易理解。整数是一种数据类型,对于32位有符号整数,最大值是0x7fffffff,即十进制2147483647,最小值是-0x80000000,十进制-2147483648。当赋值给一个整数的值为其最大值时,再加1,就会发生整型溢出。对于有符号数,这会导致一个逻辑错误,绕过安全限制。而且也可能导致溢出漏洞。   3.格式化
模糊测试漏洞挖掘
lishenglong666的专栏
01-15 3204
原文http://seckungfu.com/blog/2012/11/20/lou-dong-wa-jue-shou-ji-zhi-monajian-jie/ 相关网站 http://www.twisc.nctu.edu.tw/ http://140.113.87.234:8000/lan mona是著名的corelan team出品的immunity debugger插件,漏
一次溢出攻击的体验
tonyhacker的博客
02-07 3897
前言 二进制新手,练手体验,大牛可以忽略。 先看个main函数中调用函数func_A函数的栈结构图,帮助理解。红色部分是main栈帧,绿色部分是func_A栈帧。 环境 靶机:Xp sp3 攻击机:kali 2.0 调试工具:ImmunityDebugger、IDA 插件:mona Ctf工具包:pwntools 开发IDE:VC6.0 漏洞软件:freefloatftps
安全客2020季刊第二季:新基建___智慧生活,从智能安全开始.pdf
08-08
StarCTF 2019 v8 off-by-one漏洞学习笔记 Fastjson反序列化漏洞史 CodeQL学习——污点分析 循序渐进分析CVE-2020-1066 CVE-2020-8835 Pwn2Own ebpf提权漏洞分析 pipePotato:一种新型的通用提权漏洞 致谢
Web安全测试笔记
04-04
通过对上述知识点的学习和实践,测试人员可以更有效地发现和修复安全漏洞,从而提高系统的整体安全性。随着技术的不断进步和发展,新的攻击手段也在不断出现,因此持续学习和改进测试方法是必不可少的。
JNI学习笔记
10-25
在JNI学习笔记中,我们首先了解到,尽管Java是一种跨平台的编程语言,但有时候仍然需要调用本地代码,通常这些本地代码是由C或C++编写的。这是因为本地代码运行在系统级别,可能执行一些Java虚拟机(JVM)无法直接...
系统分析与设计复习题和笔记
weixin_43431998的博客
08-21 2812
一、复习题 需求分析的目的是保证需求的( ) A.正确性和目的性 B.目的性和一致性 C.完整性和一致性 D. 完整性和目的性 c 对应于精益思想提及的库存问题,下面哪个答案不属于软件行业的库存问题? A.还未编码的需求 B.上线的用户手册遗漏了某些软件特性 C.还没有文档化的功能模块 D.开发完却没测试的代码 b 下哪个是对Devops不正确的描述? A.DevOps鼓励融合开发和运维团队 。B.既可开发开源项目也可开发闭源项目。 C.DevOps引
FTP fuzz 工具
04-12
用于FTP fuzz测试,可在此基础上深入优化。用Python语言实现
ftpfuzz.zip
09-28
用于检测ftp服务器的可靠性。 Infigo FTPStress Fuzzer URL: http://www.infigo.hr/in_focus/tools
信息安全专业实习心得体会
10-30
信息安全实习心得体会1500字信息安全实习心得体会1500字信息安全实习心得体会1500字
暗战亮剑 软件漏洞发掘与安全防范实战.pdf
12-20
暗战亮剑 软件漏洞发掘与安全防范实战.pdf
fuzz.rar(模糊测试工具)
03-03
Fuzz是世界上第一款Fuzzing工具,也是该技术称之为‘fuzzing’的原因,它是威斯康星大学研究所测试windows程序的工具。该工具利用windows的消息机制向窗口随机的发送数据,试图使得应用程序崩溃。
一次ftp fuzzing
浅浅徘徊的博客
04-06 1182
前言 第一次尝试ftp fuzzing,然后其中遇到很多问题,和大家探讨下。 目标程序是守望迷你FTP服务器,网上可以搜到,fuzzing工具是天融信的AlphaFuzzer。 配置完ftp 直接用AlphaFuzzer中的ftpfuzz功能,出现可能的poc指令。 因为最后要写成poc,所以我这边直接写成python。 import socket,sys def ftp_...
高速fuzz.pdf
04-23
一篇英文论文,讲述如何让模糊测试变得更有效率一些。 模糊技术是一种常用的鲁棒性评价方法对抗攻击的程序。模糊化的有效性来自于快速生产和对投入的评估对程序或其行为的知识要求-我们只需要检测程序崩溃。这些属性使模糊化成为安全专业人员的一个有吸引力的工具。
Oracle数据库学习笔记——韩顺平老师讲解
"韩顺平老师Oracle听课笔记.pdf" ...这份笔记学习和复习Oracle数据库管理,特别是sql*plus操作的一个宝贵资料,适合初学者和有一定经验的DBA参考。通过理解和掌握这些内容,能够更好地管理和操作Oracle数据库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shiter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值