2020-12-15 阅读(464)

这个世界充满了需要解决的复杂问题。黑客对各种新事物特别好奇。他们到处下载、使用 和评估新软件，并享受它，直到他们把事情搞清楚。当他们发现一个网站被很好地保护时， 好...

2020-12-14 阅读(1026)

在最近测试某个asp站点时，上传Webshell，直接编程执行代码的马能够成功访问并执行； 但是如果是普通eval马，直接访问也可以，但是蚁人剑直接连接会超时。这时能够考虑一下， 因为...

2020-12-13 阅读(354)

设想要是你的网站被黑客攻击，攻击者遗留下了1个隐藏的后门，你真的能查出来吗？面对1个 拥有数百万代码行的大中型应用系统，不可能手动检查每个文件中的每个代码。即便 是一个...

2020-12-12 阅读(928)

在 渗透测试 过程中，我们可以通过插件识别类型后，使用漏洞脚本对特定系统进行模糊。在 这里，笔者将与大家分享漏洞POC验证系统的设计和研究思路。在系统开发之初，选用了分布...

2020-12-12 阅读(240)

能否频繁报警，从理论上讲是不会发生频繁报警的。在由Java程序生成的需要注意的行为中 ，正常行为是能够忽略的，而且范围不大，在将已知行为设置为白名单之后，能够尽量避免错...

2020-12-12 阅读(56)

通过查看应用日志，可以了解Java程序所执行的业务级别的操作，但是由于缺乏相应的系 统行为日志，很难根据特定日志快速判断Java程序是否存在异常行为。下面是一些轻量级的 、可快...

2020-12-12 阅读(249)

通过查看应用日志，可以了解Java程序所执行的业务级别的操作，但是由于缺乏相应的系 统行为日志，很难根据特定日志快速判断Java程序是否存在异常行为。下面是一些轻量级的 、可快...

2020-12-11 阅读(436)

SQL交互通常是实际业务开发中业务系统中不可缺少的一部分。类似Mybatis、Hiberasae、 SpringDataJPA等等都提供在Java中，以满足有关数据库交互需求。但由于各种原因，SQL语 句在与应用程序...

2020-12-05 阅读(773)

为了更有效地发现问题，需要在尽可能少的请求中发现尽可能多的问题。因此，当获得请求 时，并非所有请求都按原样处理，而是采用批量获取，然后根据接口名称对其进行分组，对每...

2020-12-04 阅读(864)

关于流量获取，首先要考虑的是环境问题：在哪个环境中获得请求，然后返回到哪个环境中。 由于水平越权地访问写入接口可能会导致脏数据，因此整个扫描环境都选择在测试环境中。...