2021-06-13 阅读(275)

跨站脚本攻击的英文全称CporSSSateScript，为了更好地区分样式表，缩写为XSS。原因是网站将客户键入的内容输出到页面，在此过程中可能会有恶意代码被浏览器执行。跨站脚本攻击是指恶...

2021-06-13 阅读(948)

恶意锁定问题，漏洞的说明:不断输入错误的密码，可以恶意锁定任何帐户。测试方法:对于测试账户，不断输入错误的密码，直到锁定为止。风险分析:如果系统认证功能没有自动化处理...

2021-06-12 阅读(713)

有些网站是用手机短信登录的，短信验证码可以绕过，开展别的操作。检验方法：一、请求发送一条短信，填写一个验证码，然后提交另一个操作请求，验证码的参数是空的，或者是删...

2021-06-12 阅读(879)

一些网站登录框中存在图形认证代码，防止暴力破解攻击，但正常逻辑是在前端输入认证代码后进行认证图形认证代码的正确性，如果是真的，则进行登录操作，如果是假的，则返回认...

2021-06-12 阅读(382)

“暴力破解”的基本思想是，根据问题的一部分条件，来明确答案的大致范围，并在此范围内逐个验证所有可能的情况，直至全部情况验证完毕。当某一情形符合问题全部条件时，为本...

2021-06-11 阅读(1157)

登录认证绕过漏洞的说明:可以绕开应用认证，直接登录系统。测试方法:绕过认证主要有几种方法： 1.网络嗅觉。通过网络嗅觉软件检测局域网传输的明确用户名和密码。一些应用程序...

2021-06-11 阅读(498)

目前这个CSRF漏洞在安全领域得到了重视,例如Spring、Struts等框架中都内置了防范CSRF的机制。防范CSRF主要有以下3种方法。大多数情况下,当浏览器发起一个HTTP请求,其中的Referer标识了请求...

2021-06-11 阅读(624)

DVWA给出了几种不同水平的解决方案,最简单的就是针对文件包含漏洞的特点,分别对用户输入进行替换。例如如果要访问远程PHP代码,那么攻击者就需要输入?page-http://192.168.157.130/test.php 这...

2021-06-11 阅读(842)

命令注入攻击的源头就在于函数shell_exec0的不恰当使用。普通用户和攻击者都可以使用Web应用程序提供的功能,但是攻击者会利用这个机会来执行附加命令,例如控制服务器下载木马文件...

2021-06-11 阅读(317)

现在我们已经了解了作为Web服务环境的组成部分之一的操作系统是不安全的了,用么其他层次呢?是不是也面临着和操作系统一样的威胁呢?实际上确实如此,无论是只能运行在Windows操作系...