安全测试
yidangui
这个作者很懒,什么都没留下…
展开
-
代码安全系列(2) - Race Condition
Race Condion 中文名不知道怎么翻译,竞态条件?紊乱条件?冲突条件?在多线程编程过程中,我们常常关心的是我们的线程是否会出现死锁(deadlock)的情况,而忽视Race Condion。到底Race Condtion是什么呢? Race Condion是在多线程(或者说多个处理过程)情况下,对有些共享资源进行混乱操作,导致整个处理过程变得混乱,引发BUG。 有一个英文解释:转载 2013-06-06 23:27:33 · 691 阅读 · 0 评论 -
攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同学一定见过这样的代码: Hello, Response.Write(Request.Querystring("name")) %转载 2013-06-06 23:23:01 · 827 阅读 · 0 评论 -
代码安全系列(1) - Log的注入
简介 我们编写了大量的程序,但程序总是出现莫名其妙的异常,因此我们使用日志模块,详细记录程序执行的步骤,以求追踪和定位问题。也许这是大多数程序员对日志的理解,跟踪和调试程序成了日志的主要职责。其实,日志的作用远非如此,当某天突然发现我们的系统被人非法入侵,删除了大量用户资料时,我们记录的日志成了最好的追踪骇客的工具。假如,我们的日志被骇客无情的篡改,后果将不堪设想。因此,日志模块虽小,安全性转载 2013-06-06 23:26:56 · 747 阅读 · 0 评论 -
攻击方式学习之(2) - SQL注入(SQL Injection)
简介 有些网站将直接拿用户的输入 来拼接SQL语句,进行查询等操作,同时也将错误信息暴露给用户。这就给不怀好意的同学可乘之机,利用输入一些奇特的查询字符串,拼接成特定的SQL语 句,即可达到注入的目的。不仅可以获取数据库重要信息,权限没有设置好的话甚至可以删除掉整个表。因此,SQL注入漏洞还是相当的严重的。发现以前偶刚学 写的网站的时候也是靠拼接SQL语句吃饭滴…… 示例 为了更好了学习转载 2013-06-06 23:23:52 · 593 阅读 · 0 评论 -
攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow)
堆栈溢出 堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的。了解堆栈溢出之前,先了解以下几个概念: 缓冲区 简单说来是一块连续的计算机内存区域,可以保存相同数据类型的多个实例。 堆栈 堆 栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性:最后一个放入堆栈中的物体总是被最先拿出来,这个特性通常称为后进先出 (LIFO)队列。堆栈中定义了一些转载 2013-06-06 23:24:48 · 722 阅读 · 0 评论 -
攻击方式学习之(4) - 拒绝服务(DOS/DDOS/DRDOS)
历史回顾 1. 2000年2月的“电子珍珠港事件”,正是互联网史上这样噩梦的集中时刻。2月7日、8日、9日连续三天,黑客对美国包括雅虎、亚马逊、国家贴现经纪公司网站、洛杉矶时报网站等各大网站发起集中攻击,直接造成了10多亿美元的损失。号称世界上最安全的网站——雅虎——是其中最不幸的一位。由于2月正是一年中网上购物最活跃的时候,雅虎的主要收入来自网上广告,在关闭的三小时内本该有1亿个页面被访问转载 2013-06-06 23:25:32 · 725 阅读 · 0 评论