见好多招聘要求都包括top 10 ，今天就来总结一下，也为了自己加深记忆 TOP1-注入 简单来说，注入往往是应用程序缺少对输入进行安全型检查所引起的，攻击者把一些包含指令的数据发送给解释器， ...

1 文件上传过程分析 1.1 PHP文件上传 关于PHP中$_files数组的使用方法 1.2 PHP文件上传源代码 　　前端上传页面：upfile.php 　　上传处理程序 ...

1 在虚拟机win2003上搭建DNS服务器,创建一个百度的域名 2 在本机上修改DNS指向地址 解析域名ping www.baidu.com，IP地址已经指向 ...

失效的身份认证和会话管理 认证和授权 - 认证的目的是为了认出用户是谁， 授权的目的是为了决定用户能够做什么- 认证是一个验证凭据的过程。- 认证分类： 单因素认证& 双因素认证 ...

敏感信息泄露 我们常说数据的安全性是极为重要的， 而在程序人员的编程过程中， 由于有些需求或是设计的问题， 往往会造成特别是机密数据的安全性得不到保证， 常见的不安全的数据存储中的数据进行破解 ...

失效的访问控制（越权） 失效的访问控制， 指未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据（ 直接的对象引用或限制的URL ） 。例如： 访问其他用户的帐户 ...

转载于https://my.oschina.net/heroShane/blog/197049 攻击情景 原文中A是受害者，她使用的一个银行网站http://unsafe/存在session fi ...