1.XSS 原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。 理论上，只要存在能提供输入的表单并且没做安全过滤或过滤不彻底，都有可能存在XSS ...

SQL注入 成因：程序未对用户的输入的内容进行过滤，从而直接代入数据库查询，所以导致了sql 注入 漏洞 。 思路：在URL处可以通过 单引号 和 and 1=1 and 1=2 等语句进行手工测试sql注入 。 Post 注入：比如后台登录框输入单引号测试注入，报错的话说明存在注入 ...

很多公司对软件会有安全的要求，一般测试公司会使用安全漏洞扫描工具对软件进行漏扫，然后给出安全报告，然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司，使用的是漏洞扫描工具AppScan，这里介绍一下AppScan的安装使用，以及安全报告的生成。 1漏扫工具AppScan ...

安全漏洞搜索 ...

漏洞内容 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 判断处理办法 因为rocketmq使用tls协议来处理通信，但是仍然使用tlsV1协议版本，改漏洞应该是因为tls协议版本过低导致的，所以需要通过一些方案修改tls协议 ...

今天看到一篇公众号文章写的关于中间件漏洞的整理，里面有部分是我不知道的，转载一下， https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章：IIS IIS 6 解析漏洞 ...

这个指北不会给出太多的网站和方向建议，因为博主相信读者能够从一个点从而了解全局，初期的时候就丢一大堆安全网址导航只会浇灭人的热情，而且我也不适合传道授业解惑hhh 安全论坛： 先知社区 freebuf 安全客 安全入门书籍： 《Web安全攻防：渗透测试实战指南》 如果是想先接触一下 ...

原文：https://www.jianshu.com/p/0b30d7bc276d 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符，达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴，但前端也可做体验上的优化 ...