1、安全攻擊 1、SQL、HTML、JS、OS命令注入 2、XSS跨站腳本攻擊，利用站內信任的用戶，在web頁面插入惡意script代碼 3、CSRF跨站請求偽造，通過偽裝來自信任用戶的請求來利用受信任的網站。 4、目錄遍歷漏洞 5、參數篡改 ...

1.1 Web應用的漏洞分類 1、信息泄露漏洞 信息泄露漏洞是由於Web服務器或應用程序沒有正確處理一些特殊請求，泄露Web服務器的一些敏感信息，如用戶名、密碼、源代碼、服務器信息、配置信息等。 造成信息泄露主要有以下三種原因： --Web服務器配置存在問題，導致一些 ...

本文轉自：http://www.dickeye.com/?id=16 主要是手機APP漏洞 放在web端測試 學習了 智能手機的存在讓網民的生活從PC端開始往移動端轉向，現在網民的日常生活需求基本上一部手機就能解決。外賣，辦公，社交，銀行轉賬等等都能通過移動端App實現。那么隨之也帶來 ...

今天，我們對信息安全越來越受重視，WEB開發中的各種加密也變得更加重要。通常跟服務器的交互中，為確保數據傳輸的安全性，避免被人抓包篡改數據，除了 https 的應用，還需要對傳輸數據進行加解密。今天我們來了解下有哪些常見的加密方式。 單向散列加密 單向散列（hash）加密是指把任意長 ...

0x01 漏洞挖掘 01 注冊 注冊中最常見的有兩個，一個是惡意注冊，另一個是賬戶遍歷。一個好的注冊界面應該是這樣 或者這樣的 而不是這樣的 要么使用短信或郵箱進行驗證，要么存在難以識別的驗證碼，使得注冊的請求無法批量提交。那么賬戶遍歷是什么 ...

注：以下漏洞示例已由相關廠商修復，切勿非法測試！ 0x01 漏洞挖掘 01 注冊 注冊中最常見的有兩個，一個是惡意注冊，另一個是賬戶遍歷。一個好的注冊界面應該是這樣 或者這樣的 而不是這樣的 要么使用短信或郵箱進行驗證，要么存在難以 ...

計算機程序主要就是輸入數據 經過處理之后 輸出結果，安全問題由此產生，凡是有輸入的地方都可能帶來安全風險。根據輸入的數據類型，Web應用主要有數值型、字符型、文件型。 要消除風險就要對輸入的數據進行檢查，對於Web應用來說，檢查的位置主要是前端和后端。前端檢查只能防止正常狀況，沒法防止通過工具 ...

Web安全測試中常見邏輯漏洞解析（實戰篇） 簡要： 越權漏洞是比較常見的漏洞類型，越權漏洞可以理解為，一個正常的用戶A通常只能夠對自己的一些信息進行增刪改查，但是由於程序員的一時疏忽，對信息進行增刪改查的時候沒有進行一個判斷，判斷所需要操作的信息是否屬於對應的用戶，導致用戶A可以操作其他人 ...