2021-06-11 阅读(336)

跨站请求伪造(Cross-site request forgery,CSRF)是一种攻击方式,它通过滥用Web应用程序对受害者浏览器的信任,诱使已经经过身份验证的受害者提交攻击者设计的请求。CSRF不会向攻击者传递任何...

2021-06-11 阅读(497)

目前这个CSRF漏洞在安全领域得到了重视,例如Spring、Struts等框架中都内置了防范CSRF的机制。防范CSRF主要有以下3种方法。大多数情况下,当浏览器发起一个HTTP请求,其中的Referer标识了请求...

2021-06-11 阅读(368)

跨站攻击(Cross Site Script Execution, XSS) 是指攻击者利用网站程序对用户的输入过滤得不充分,从而输入可以显示在页面上并对其他用户造成影响的HTML代码,以此盗取用户资料、利用用户身份...

2021-06-11 阅读(1370)

然后利用前面的内容构造如下命令: http://192. 168, 157, 144/dvwa/vulnerbilities/sq11/71d-16aubmit-submit --cookie-security=low: PHPSESSID-b523(41bb19ecca9a1d0b2b90fecc09b --dbs --batch启动sqlmap之后的使用界面如所示。...

2021-06-11 阅读(641)

为了便于大家掌握关键内容,这里只展示了一部分代码,如果大家需要了解liblnjection的全部代码,可以到GitHub中获取。接下来我们编译生成库文件,这里需要编写一个简单的Makefile将liblnject...

2021-06-11 阅读(1128)

登录认证绕过漏洞的说明:可以绕开应用认证，直接登录系统。测试方法:绕过认证主要有几种方法： 1.网络嗅觉。通过网络嗅觉软件检测局域网传输的明确用户名和密码。一些应用程序...

2021-06-05 阅读(458)

只有一个登录框能够测试哪些漏洞？通常每个人都会测试关键部分。为了取得更好的测试效果，小工厂会为你的用户名提供密码；但是有些重要的企业，这个环境是正式环境，当你不想...

2021-05-29 阅读(167)

语义上可用的智能合约不仅符合社会工程攻击之一的配置文件，还具有欺诈功能。这表明这个合约实际上是可用的。欺诈能力是一种内省措施，其特征是合约用户有机会误解智能合约的...

2021-05-29 阅读(187)

可以通过自动分析智能合约的字节码，源代码或交易历史记录来检测利用智能合约代码漏洞（例如重入或整数溢出）的攻击。但是，此信息不足以确定具有确定性的社会工程学攻击。例...

2021-05-24 阅读(296)

国内近年来也出现了类似的RHG比赛。另外，随着软件的复杂性，模糊检测技术的成熟，漏洞的数量也在增加。修补所有漏洞并不现实，人工判断漏洞的危害性也是一个耗时的过程。因此...