uestc2007

摘要： https://blog.csdn.net/u012111465/article/details/85250030 https://www.jianshu.com/p/ce49bc69c0f3 阅读全文

摘要： 01 漏洞描述 上篇文章介绍了Host头攻击，今天我们讲一讲HTTP.sys远程代码执行漏洞。 HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序，为了优化IIS服务器性能，从IIS6.0引入，IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是 阅读全文

摘要： 01 漏洞描述 《HTTP | HTTP报文》中介绍了HTTP的请求方法。在这些方法中，HTTP定义了一组被称为安全方法的方法：GET、HEAD、OPTIONS、TRACE，这些方法不会产生什么动作，不会在服务器上产生结果，只是简单获取信息。相对的，能产生动作的方法就会被认为是不安全的HTTP方法。 阅读全文

摘要： 01 漏洞描述 由于错误配置或设计缺陷，当向系统提交有效账户和无效账户时，服务器会有不同的响应。利用响应的不同，攻击者可以获取到系统已经存在的账户，可用于暴力破解，进一步获取账户的登录密码。 02 漏洞检测 用户枚举漏洞的检测比较简单，只需用不同的账户去登录，查看服务器响应是否有差异即可（查看页面、 阅读全文

摘要： 一、定义&原理 1、HTTP HTTP协议是(Hyper Text Transfer Protocol)超文本传输协议的缩写 主要用于Web端的内容获取，也就是访问Web页面所使用的协议，HTTP的无状态性，导致Web应用程序必须使用会话机制来识别用户 HTTP是一种无状态协议，即服务器不会保留与客 阅读全文

摘要： 一、 定义和原理 当应用程序没有验证输入数据并产生输出时浏览器将用户输入的内容，当做脚本执行，执行了 恶意的功能， 这种针对用户浏览器的攻击即跨站脚本攻击。这个时候就会产生XSS漏洞。 “一切输入都是不安全的”，Web应用的漏洞几乎都是由一个原因造成：不能在使用前正确验证输入的数据。 XSS便是其中 阅读全文

摘要： 在日常工作中，常见的接口测试主要包括：Web接口测试，应用程序接口（API, application programming interface）测试和数据库测试。 前言： 在做接口测试用例之前，首先要做接口分析。主要需明确以下内容： 1）收否有接口文档？接口文档内容有哪些？ 2）明确接口测试流程。 阅读全文