2013年1月24日
摘要: 1 常用操作系统扫描工具介绍1.1 CIS-CAT【功能】可以根据不同的操作系统,选择不同的基准进行系统漏洞扫描。【适用对象】Unix/Linux,MS Windows,并且这些系统上装了java 5或以上。本文主要介绍在Linux下的用法1.1.1 扫描准备将工具解压到目标Linux机器上,CIS-CAT扫描Linux机器必须要求机器安装JDK在1.5或以上可以通过#java -version查看具体的版本号,如果机器上有JDK在1.5以上但是只是没有设置环境变量,请参照以下方法设置,如果没有版本在1.5或者以上,请下载1.5或者以上版本安装。更新环境变量参照如下:#vi .profileP 阅读全文
posted @ 2013-01-24 21:36 Xavierr 阅读(1348) 评论(0) 推荐(0) 编辑
摘要: 最近对产品做了安全测试,以前没有接触过这方面,做做感觉很有意思。介绍几个工具吧。1. WebScarab 免费的开源工具,我用它主要使用了URL拦截功能,修改URL参数可以发现网站的漏洞。例如,某些网站对用户输入的合法性只在客户端做了检查,使用WebScarab可以很容易的进行SQL注入。下面是工具的介绍:这主要是一款代理软件,或许没有其它的工具能和OWASP的WebScarab如此丰富的功能相媲美了,如果非要列举一些有用的模块的话,那么他们包括HTTP代理,网络爬行、网络蜘蛛,会话ID分析,自动脚本接口,模糊测试工具,对所有流行的WEB格式的编码/解码,WEB服务描述语言和SOAP解析器等. 阅读全文
posted @ 2013-01-24 21:33 Xavierr 阅读(4951) 评论(1) 推荐(0) 编辑
摘要: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7、Session 会话劫持(Session Hijacking) 8、Session 固定攻击(Session Fixation) 9、HTTP响应拆分攻击(HTTP Response S... 阅读全文
posted @ 2013-01-24 21:10 Xavierr 阅读(168) 评论(0) 推荐(0) 编辑