見好多招聘要求都包括top 10 ，今天就來總結一下，也為了自己加深記憶 TOP1-注入 簡單來說，注入往往是應用程序缺少對輸入進行安全型檢查所引起的，攻擊者把一些包含指令的數據發送給解釋器， ...

1 文件上傳過程分析 1.1 PHP文件上傳 關於PHP中$_files數組的使用方法 1.2 PHP文件上傳源代碼 　　前端上傳頁面：upfile.php 　　上傳處理程序 ...

1 在虛擬機win2003上搭建DNS服務器,創建一個百度的域名 2 在本機上修改DNS指向地址 解析域名ping www.baidu.com，IP地址已經指向 ...

失效的身份認證和會話管理 認證和授權 - 認證的目的是為了認出用戶是誰， 授權的目的是為了決定用戶能夠做什么- 認證是一個驗證憑據的過程。- 認證分類： 單因素認證& 雙因素認證 ...

敏感信息泄露 我們常說數據的安全性是極為重要的， 而在程序人員的編程過程中， 由於有些需求或是設計的問題， 往往會造成特別是機密數據的安全性得不到保證， 常見的不安全的數據存儲中的數據進行破解 ...

失效的訪問控制（越權） 失效的訪問控制， 指未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據（ 直接的對象引用或限制的URL ） 。例如： 訪問其他用戶的帳戶 ...

轉載於https://my.oschina.net/heroShane/blog/197049 攻擊情景 原文中A是受害者，她使用的一個銀行網站http://unsafe/存在session fi ...