随笔分类 - 安全
记录一些安全方面的经验
摘要:实验环境: 1、根据官网说明安装gmssl 2、修改/usr/local/ssl/openssl.cnf配置 3、初始化CA目录 1)创建根目录 2)创建其他目录 在此路径下要创建好/usr/local/ssl/openssl.cnf中需要的certs, crl ,new_certs_dir和pri
阅读全文
摘要:1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。 问题代码: 修复方案:(1)程序对非受信的用户输入数据进行净化,删除不安全的字符。(2)限定输入类型, 创建一
阅读全文
摘要:一、使用场景 测试设备web性能优化时,需要构造或删除多个user、设备、设备账号、订单等,除了使用excel批量导入外,有些数据构造/删除使用burpsuit代理并将对应请求发送到Burp Intruder模块中改参数对应value,同时根据场景配置选择不同的attack type,设置需要修改参
阅读全文
摘要:最近遇到客户出的难题,登录和密码框不要自动代填已经保存过的密码,本以为在输入框加个 就完事,没想到这个只能屏蔽历史输入,已保存的用户信息在火狐浏览器还是如此的倔强,如图所示: 还是要回显提示,已经存过的其他账号,网上溜达了一圈,还是没有一个明明白白的答案,后来经过反复调试, 发现输入框是文本和pas
阅读全文
