05 2014 档案
摘要:1.跨平台性主要原理是:在需要运行的java应用程序的操作系统上安装了一个对应操作系统对应版本的JVM(Java Virtual Machine)java虚拟机即可,由JVM来负责Java程序的在该系统中执行。JVM分为Windows版本JVM,linux版本JVM,Mac版本JVM,因为有了JVM...
阅读全文
摘要:在windows下的cmd里使用dir 列出当前目录下的文件及文件夹md 创建目录rd 删除目录(只能删除空目录)cd 进入指定目录cd .. 返回上一级目录cd / 返回到根目录del 删除文件,如果test文件夹下存在许多文件,也可以用del删除,del test/*即可exit 退出dos命令...
阅读全文
摘要:Web安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网...
阅读全文
摘要:HTTP协议详解当今web程序的开发技术真是百家争鸣,ASP.NET, PHP, JSP,Perl, AJAX 等等。 无论Web技术在未来如何发展,理解Web程序之间通信的基本协议相当重要, 因为它让我们理解了Web应用程序的内部工作. 本文将对HTTP协议进行详细的实例讲解,内容较多,希望大家耐...
阅读全文
摘要:Fiddler 教程Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说,都有很大的帮助。阅读目录Fiddler的基本介绍Fiddler的工作原理同类的其它工具F...
阅读全文
摘要:wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。wireshark能获取HTT...
阅读全文
摘要:建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1. 输入验证客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限...
阅读全文
摘要:安装说明:软件是基于java开发的,所以安装前,要求你的机器已经安装了Java运行环境软件说明:一个用来分析使用HTTP和HTTPS协议的应用程序框架,可以用来学习HTTP协议我更多的是用来对自己做的网站进行注入攻击,以确保自己开发的网站的安全性足够网上大家常用httpwatch来分析网页数据,但是...
阅读全文
摘要:网站测试中如何做好安全性测试安全性测试(security testing)是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。注意:安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 以下是我读>中的Web安全性测试章节内容,并...
阅读全文
摘要:一、工具扫描 目前web安全扫描器针对 XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。 商业软件web安全扫描器:有IBM Rational Appscan、WebInspect、Acunetix WVS 免费的扫描器...
阅读全文
摘要:文件上传验证绕过技术总结1.客户端验证绕过很简单啦,直接使用webscarab或者burp修改一下后缀名就行。2.服务端验证绕过-Content-type检测若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content-type。如php中...
阅读全文
摘要:Burp Suite使用介绍(一)22人收藏收藏2014/05/01 19:54|小乐天|工具收集|占个座先Getting StartedBurp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理...
阅读全文
摘要:Burpsuite教程与技巧之HTTP brute暴力破解Gall@WEB安全2013-02-28 共19052人围观,发现32个不明物体收藏该文感谢Gall投递常规的对username/passwprd进行payload测试,我想大家应该没有什么问题,但对于Authorization: Basic...
阅读全文
摘要:burpsuite绕过本地javascripte上传文件先是找到图片上传的位置: 上传个asp文件试试,一点击上传就出现: 这样基本就可以确定是本地检测文件后缀名的方式来检测上传内容。 接下来先将asp文件的后缀改成.jpg结尾的。并开启burpsuite大杀器!!! 开启成功后,开...
阅读全文
摘要:文件上传漏洞演示脚本之js验证00716关于文件上传漏洞,想必玩web安全的同学们都有接触,之前本站也发布过一篇文章介绍文件上传漏洞的各种绕过方法,但是只是有文档却没有演示代码,最近给公司一客户培训,就照文档中的绕过写出了相应的代码,方便我等小菜研究,此次的文章我会连续发几天都是关于如何绕过的,全都...
阅读全文
摘要:上传验证绕过2011-08-06 07:37:10 我来说两句 收藏我要投稿Bypass Upload Validation Framework V0.9CasperKid[S.Y.C]2011.7.29目录0x01 客户端验证绕过(javascript 扩展名检测)0x02 服务端验证绕过(htt...
阅读全文
摘要:Burp Suite详细使用教程-Intruder模块详解最近迷上了burp suite 这个安全工具,百度了关于这个工具的教程还卖900rmb。。。ohno。本来准备买滴,但是大牛太高傲了,所以没买了。所以就有了今天这个文章。感谢帮助我的几个朋友:Mickey、安天的Sunge。0×01 介绍安装...
阅读全文