摘要： 阅读目录Fiddler的基本介绍Fiddler的工作原理同类的其它工具Fiddler如何捕获Firefox的会话Fiddler如何捕获HTTPS会话Fiddler的基本界面Fiddler的统计视图QuickExec命令行的使用Fiddler中设置断点修改RequestFiddler中设置断点修改ResponseFiddler中创建AutoResponder规则Fiddler中如何过滤会话Fiddler中会话比较功能Fiddler中提供的编码小工具Fiddler中查询会话Fiddler中保存会话Fiddler的script系统Fiddler的基本介绍Fiddler的官方网站: www.fiddl 阅读全文

摘要： 一概述：HttpWatch强大的网页数据分析工具.集成在Internet Explorer工具栏.包括网页摘要.Cookies管理.缓存管理.消息头发送/接受.字符查询.POST数据和目录管理功能.报告输出 HttpWatch 是一款能够收集并显示页页深层信息的软件。它不用代理服务器或一些复杂的网络监控工具，就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓存和IE之间的交换信息。集成在Internet Explorer工具栏。二安装HttpWatch略过^_^三 基本功能介绍启动Httpwatch从IE的“查看”—“浏览器栏”—“HttpWatch”启动HttpWatch 阅读全文

摘要： 1. 不登录系统，直接输入登录后的页面的URL是否可以访问；2. 不登录系统，直接输入下载文件的URL是否可以下载文件；如输入：http://url/download?name=file是否可以下载文件file3. 退出登录后，后退按钮能否访问之前的页面；4. ID/密码验证方式中能否使用简单密码；如密码标准为6位以上，字母和数字的组合，不包含ID，连接的字母或数字不能超过n位5. ID/密码验证方式中，同一个帐号在不同的机器上不同时登录6. ID/密码验证方式中，连续数次输入错误密码后该帐户是否被锁定7. 重要信息（如密码，身份证，信用卡号等）在输入... 阅读全文

摘要： Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。 Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。 如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查询中时，就将查询的原始语法更改得面目全非。 例如，如果应用程序使用用户的输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击者能够将恶意数据注... 阅读全文

摘要： “跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实：Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入（通常是参数值）返回，而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入，浏览器便可以执行输入中的代码。 因此，有可能形成指向站点的若干链接，且其中一个参数是由恶意的 JavaScript 代码组成。 该代码将在站点上下文中（由用户浏览器）执行，这授权它通过用户浏览器访问用户所拥有的站点 Cookie 以及站点的其他窗口。攻击依照下列方式继续进行：攻击者诱惑合法用 阅读全文

摘要： 0x01 XSS Shell简介XSS Shell一个windows环境下的XSS攻击平台。下载地址为：http://www.portcullis-security.com/tools/free/XSSShell039.zip利用XSS Shell，攻击者可以轻松攻击存在XSS漏洞的网站的用户。目前可以实施的攻击包括但不限于：1、获取用户cookie；2、获取用户当前页面内容；3、弹出窗口；4、执行JS代码；5、弹出与用户交互窗口；6、获取键盘日志（测试中未成功）；7、获取鼠标日志（测试中未成功）；8、获取剪贴板（仅限IE）；9、获取内部IP（仅支持Mozilla* + JVM）10、获取用户 阅读全文

摘要： Rational AppScan 工作原理 Rational AppScan(简称 AppScan)其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安装在 Windows操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫. 阅读全文

摘要： SQLite Features：ACID事务零配置 – 无需安装和管理配置储存在单一磁盘文件中的一个完整的数据库数据库文件可以在不同字节顺序的机器间自由的共享支持数据库大小至2TB足够小, 大致3万行C代码, 250K比一些流行的数据库在大部分普通数据库操作要快简单, 轻松的API包含TCL绑定, 同时通过Wrapper支持其他语言的绑定良好注释的源代码, 并且有着90%以上的测试覆盖率独立: 没有额外依赖Source完全的Open, 你可以用于任何用途, 包括出售它支持多种开发语言,C, PHP, Perl, Java, ASP.NET,PythonSQLite：SQLite Officia 阅读全文

摘要： We have been seeing and trying to resolve SQL connectivity issue all the time. I guess it would be helpful if we can put some guidance on how to resolve connectivity issues. Here comes a proposal based on my experience.Basically, when you failed to connect to your SQL Server, the issue could be:1) N 阅读全文

摘要： Link：How to set an IIS Application or AppPool to use ASP.NET 3.5 rather than 2.0A question that comes up a lot is this: How do I tell my IIS Application or Virtual Directory to use ASP.NET 3.5 rather than ASP.NET 2.0?Folks often go into the IIS6 or IIS7 manager and setup an AppPool and see a propert 阅读全文