1.代碼注入 1.1 命令注入 命令注入是指應用程序執行命令的字符串或字符串的一部分來源於不可信賴的數據源，程序沒有對這些不可信賴的數據進行驗證、過濾，導致程序執行惡意命令的一種攻擊方 ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Portability Flaw: Locale Dependent Comparison 漏洞進行總結，如下： 1、Portability Flaw: Locale Dependent Comparison 1.1、產生原因 ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Denial of Service: Regular Expression 漏洞進行總結，如下： 1、Denial of Service: Regular Expression 1.1、產生原因： 　　實施正則表達式評估程序及相關方法 ...

前段時間公司又一輪安全審查，要求對各項目進行安全掃描，排查漏洞並修復，手上有幾個歷史項目，要求在限定的時間內全部修復並提交安全報告，也不清楚之前是如何做的漏洞修復，這次使用工具掃描出來平均每個項目都還有大概100來個漏洞。這些漏洞包括SQL語句注入，C#后端代碼，XML文件 ...

　　公司最近啟用了Fortify掃描項目代碼，報出較多的漏洞，安排了本人進行修復，近段時間將對修復的過程和一些修復的漏洞總結整理於此！ 　　本篇先對Fortify做個簡單的認識，同時總結一下sql注入的漏洞！ 一、Fortify軟件介紹 　　Fortify是一款能掃描分析代碼漏洞的強大 ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Path Manipulation（路徑篡改）的漏洞進行總結，如下： 1、Path Manipulation（路徑篡改） 1.1、產生原因： 當滿足以下兩個條件時，就會產生 path ...

首先說明一下什么是CSRF(Cross Site Request Forgery)？ 跨站請求偽造是指攻擊者可以在第三方站點制造HTTP請求並以用戶在目標站點的登錄態發送到目標站點，而目標站點未校驗請求來源使第三方成功偽造請求。 為什么會有CSRF? JS控制瀏覽器發送請求的時候，瀏覽器 ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Access Control: Database（數據越權）的漏洞進行總結，如下： 1、Access Control: Database（數據越權） 1.1、產生原因： Database access control 錯誤在以下 ...