1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源，程序没有对这些不可信赖的数据进行验证、过滤，导致程序执行恶意命令的一种攻击方 ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Portability Flaw: Locale Dependent Comparison 漏洞进行总结，如下： 1、Portability Flaw: Locale Dependent Comparison 1.1、产生原因 ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结，如下： 1、Denial of Service: Regular Expression 1.1、产生原因： 　　实施正则表达式评估程序及相关方法 ...

前段时间公司又一轮安全审查，要求对各项目进行安全扫描，排查漏洞并修复，手上有几个历史项目，要求在限定的时间内全部修复并提交安全报告，也不清楚之前是如何做的漏洞修复，这次使用工具扫描出来平均每个项目都还有大概100来个漏洞。这些漏洞包括SQL语句注入，C#后端代码，XML文件 ...

　　公司最近启用了Fortify扫描项目代码，报出较多的漏洞，安排了本人进行修复，近段时间将对修复的过程和一些修复的漏洞总结整理于此！ 　　本篇先对Fortify做个简单的认识，同时总结一下sql注入的漏洞！ 一、Fortify软件介绍 　　Fortify是一款能扫描分析代码漏洞的强大 ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Path Manipulation（路径篡改）的漏洞进行总结，如下： 1、Path Manipulation（路径篡改） 1.1、产生原因： 当满足以下两个条件时，就会产生 path ...

首先说明一下什么是CSRF(Cross Site Request Forgery)？ 跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点，而目标站点未校验请求来源使第三方成功伪造请求。 为什么会有CSRF? JS控制浏览器发送请求的时候，浏览器 ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Access Control: Database（数据越权）的漏洞进行总结，如下： 1、Access Control: Database（数据越权） 1.1、产生原因： Database access control 错误在以下 ...