1.XSS 原理是攻擊者向有XSS漏洞的網站中輸入(傳入)惡意的HTML代碼，當用戶瀏覽該網站時，這段HTML代碼會自動執行，從而達到攻擊的目的。如，盜取用戶Cookie信息、破壞頁面結構、重定向到其它網站等。 理論上，只要存在能提供輸入的表單並且沒做安全過濾或過濾不徹底，都有可能存在XSS ...

SQL注入 成因：程序未對用戶的輸入的內容進行過濾，從而直接代入數據庫查詢，所以導致了sql 注入 漏洞 。 思路：在URL處可以通過 單引號 和 and 1=1 and 1=2 等語句進行手工測試sql注入 。 Post 注入：比如后台登錄框輸入單引號測試注入，報錯的話說明存在注入 ...

很多公司對軟件會有安全的要求，一般測試公司會使用安全漏洞掃描工具對軟件進行漏掃，然后給出安全報告，然后軟件開發人員會根據提供的安全報告進行漏洞的處理。我們接觸到的測評公司，使用的是漏洞掃描工具AppScan，這里介紹一下AppScan的安裝使用，以及安全報告的生成。 1漏掃工具AppScan ...

安全漏洞搜索 ...

漏洞內容 服務器支持 TLS Client-initiated 重協商攻擊(CVE-2011-1473)【原理掃描】 判斷處理辦法 因為rocketmq使用tls協議來處理通信，但是仍然使用tlsV1協議版本，改漏洞應該是因為tls協議版本過低導致的，所以需要通過一些方案修改tls協議 ...

今天看到一篇公眾號文章寫的關於中間件漏洞的整理，里面有部分是我不知道的，轉載一下， https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章：IIS IIS 6 解析漏洞 ...

這個指北不會給出太多的網站和方向建議，因為博主相信讀者能夠從一個點從而了解全局，初期的時候就丟一大堆安全網址導航只會澆滅人的熱情，而且我也不適合傳道授業解惑hhh 安全論壇： 先知社區 freebuf 安全客 安全入門書籍： 《Web安全攻防：滲透測試實戰指南》 如果是想先接觸一下 ...

原文：https://www.jianshu.com/p/0b30d7bc276d 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符，達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬於后端的范疇，但前端也可做體驗上的優化 ...