2018年6月6日
Appscan漏洞之Authentication Bypass Using HTTP Verb Tampering
摘要: 本次针对 Appscan漏洞 Authentication Bypass Using HTTP Verb Tampering(HTTP动词篡改导致的认证旁路)进行总结,如下: 1. Authentication Bypass Using HTTP Verb Tampering 1.1、攻击原理 不安 阅读全文
posted @ 2018-06-06 21:50 Xavier-Xu 阅读(4441) 评论(0) 推荐(0) 编辑
Appscan漏洞之跨站点请求伪造(CSRF)
摘要: 公司前段时间使用了Fortify扫描项目代码,在修复完这些Fortify漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复。现在,针对修复过的Appscan漏洞也一一总结一下。本次先对 Cross-site request forgery(跨站请求伪造) 阅读全文
posted @ 2018-06-06 21:40 Xavier-Xu 阅读(3331) 评论(0) 推荐(0) 编辑
Burpsuite神器常用功能使用方法总结
摘要: Burpsuite神器常用功能使用方法总结 Burpsuite介绍: 一款可以进行再WEB应用程序的集成攻击测试平台。 常用的功能: 抓包、重放、爆破 1.使用Burp进行抓包 这边抓包,推荐360浏览器7.1版本(原因:方便) 在浏览器设置代理: 360浏览器:工具->代理服务器->代理服务器设置 阅读全文
posted @ 2018-06-06 18:31 Xavier-Xu 阅读(515) 评论(0) 推荐(0) 编辑
2018年6月5日
Fortify漏洞之Insecure Randomness(不安全随机数)
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因: 成弱随机数的函数是 random()。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成 阅读全文
posted @ 2018-06-05 21:13 Xavier-Xu 阅读(5627) 评论(0) 推荐(0) 编辑
Fortify漏洞之Denial of Service: Regular Expression
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结,如下: 1、Denial of Service: Regular Expression 1.1、产生原因: 实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会 阅读全文
posted @ 2018-06-05 21:07 Xavier-Xu 阅读(4697) 评论(0) 推荐(0) 编辑
Fortify漏洞之Portability Flaw: Locale Dependent Comparison
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Portability Flaw: Locale Dependent Comparison 漏洞进行总结,如下: 1、Portability Flaw: Locale Dependent Comparison 1.1、产生原因: 对可能与区域设置相关 阅读全文
posted @ 2018-06-05 21:03 Xavier-Xu 阅读(3274) 评论(0) 推荐(0) 编辑
2018年5月16日
Fortify漏洞之Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally 漏洞进行总结,如下: 1、Portability Flaw: File Separator(文 阅读全文
posted @ 2018-05-16 20:05 Xavier-Xu 阅读(6998) 评论(0) 推荐(0) 编辑
2018年5月14日
Fortify漏洞之 Log Forging(日志伪造)
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Log Forging(日志伪造)的漏洞进行总结,如下: 1.1、产生原因: 在以下情况下会发生 Log Forging 的漏洞: 1. 数据从一个不可信赖的数据源进入应用程序。 2. 数据写入到应用程序或系统日志文件中。 为了便于以后的审阅、统计数 阅读全文
posted @ 2018-05-14 22:22 Xavier-Xu 阅读(14922) 评论(0) 推荐(0) 编辑
Fortify漏洞之 Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Privacy Violation(隐私泄露) 和 Null Dereference(空指针异常) 的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到 阅读全文
posted @ 2018-05-14 19:36 Xavier-Xu 阅读(22311) 评论(0) 推荐(0) 编辑
Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入)和 Password Management: Hardcoded Password(密码硬编码)
摘要: 继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection(动态脚本注入) 和 Password Management: Hardcoded Password(密码硬编码) 的漏洞进行总结,如下: 1.1、产生原因: 许多现代编程 阅读全文
posted @ 2018-05-14 18:43 Xavier-Xu 阅读(14473) 评论(0) 推荐(0) 编辑