随笔分类 - Java_web_漏洞处理系列
摘要:1、“Content-Security-Policy”头缺失 在网上查了关于这个响应头的说明,CSP相当于前台的白名单,用来限制网站内部一些资源获取的来源,如限制CSS、JS、图片或者第三方链接等。 CSP的设置可以在一定程度上限制XSS攻击,有2种方式可以设置。第一种通过设置HTTP响应头,另一种
阅读全文
摘要:DirBuster使用介绍 最近在做和华为合作的项目,由于华为对安全层面要求比较高,要求对敏感接口进行遍历,查看业务系统是否存在对外开放的敏感接口或者对接口进行权限控制,以及对目录列表进行测试确保所有的目录访问均不能打印文件列表,要求用DirBuster渗透工具,以此做个记录 工具介绍 DirBus
阅读全文
摘要:Fortify 代码扫描安装使用教程 前言 Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。 Fortify SCA 支持丰富的开发环境、语言、平
阅读全文
摘要:开源漏洞扫描器合集 hackerie于 2017-09-07 19:46:23 发布23461 收藏 48 分类专栏: web漏洞扫描 漏扫工具 文章标签: 开源漏扫工具 开源漏洞扫描器合集 hackerie于 2017-09-07 19:46:23 发布23461 收藏 48 分类专栏: web漏
阅读全文
摘要:背景 最近log4j漏洞猖狂,某天一个好心网友提交了一份分析报告,指出开源软有问题墨菲漏洞扫描报告forSpringBootCodeGenerator ,当时马上就更新所有依赖到最新版本。事后觉得这个工具挺有意思,他基于面向java,基于github和idea,方式多样,深得在下喜欢,所以分享一下使
阅读全文
摘要:本文出处: 欧普软件--------------------------------------------------------------------------------------------------------------------------------------------------------------------
阅读全文
摘要:本文来源:绿盟整理 《十大web安全扫描工具》十大web安全扫描工具扫描程序可以在帮助造我们造就安全的Web 站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web 漏洞扫描程序,供您参考。1. Nikto http://www.xdowns.com/soft/184/Linux/2012/Soft_99498.html 1 以下是引用片段: 2...
阅读全文
摘要:对于:绿盟科技 测试报告--------------------------------------HTTP协议详解本文来源:大彪哥 《HTTP协议详解》引言 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/...
阅读全文