免责声明： 本文意在讨论使用工具来应对软件研发领域中，日益增长的安全性质量测试需求。本文涉及到的工具不可被用于攻击目的。 1.　　安全性测试 前些天，一则12306用户账号泄露的新闻 ...

建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1. 输入验证 客户端验证 服务器端验证(禁用脚本调试，禁用Cookies) 1.输入很大 ...

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 http://bbs.safedog.cn/thr ...

首先说明一下什么是CSRF(Cross Site Request Forgery)？ 跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点，而目标站点未校验 ...

通过ping命令识别服务器类型 查看本机IP 判断服务器用的什么系统还可以用一个简单的方法，在dos下或虚拟dos下或在Linux下输入ping命令 比如你要查百 ...

BurpSuite BurpSuite 是一款使用Java编写的，用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等，同时这些小工具之间还可 ...

安全风险： 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因： Web 服务器或应用程序服务器是以不安全的方式配置的。 ...

1.1 Webscarab 【功能】 WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单，WebScarab可以记录它检测到的会话内容（请求和应答） ...

sqlmap可以批量扫描包含有request的日志文件，而request日志文件可以通过burpsuite来获取， 因此通过sqlmap结合burpsuite工具，可以更加高效的对应用程序是否存在S ...

OpenVAS是开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。 OpenVAS是开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器， ...