SQL注入 所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意 ...

常见Web应用安全问题 经过上两篇（《Web安全性问题的层次关系》及《解读Web应用安全问题的本质》）关于Web安全及Web应用安全概念性知识的宏观介绍 ，相信大家已经有所感知了。从今天开始，我将陆续给大家介绍常见的Web应用安全性问题。　　Web应用程序的安全性问题依其存在的形势 ...

Hi，大家好。我们在开展接口测试时也需要关注安全测试，例如敏感信息是否加密、必要参数是否进行校验。 1、接口防刷案例分析 1.1、 案例 黄牛在12306网上抢票再倒卖并牟利。 恶意攻击竞争对手，如短信接口被请求一次，会触发几分钱的运营商费用。 进行压 ...

或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所 维护信息系统存在的安全漏洞，从而在 ...

建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1. 输入验证 客户端验证 服务器端验证(禁用脚本调试，禁用Cookies) 1.输入很大的数（如4,294,967,269），输入很小的数(负数) 2.输入超长字符,如对输入文字 ...

建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1. 输入验证 客户端验证 服务器端验证(禁用脚本调试，禁用Cookies) 1.输入很大的数（如4,294,967,269），输入很小的数(负数) 2.输入超长字符,如对输入文字 ...

http://blog.csdn.net/stacey_sz/article/details/53669066 工具篇 Watchfire Appscan——全面自动测试工具 Acunetix Web Vulnerability ——全面自动测试 ...

1、漏洞描述：文件上传漏洞，是指可以利用WEB上传一些特定的文件包含特定代码如（<?php phpnfo;?> 可以用于读取服务器配置信息。上传成功后可以点击） 上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最 ...