当前位置:

  • APP架构设计经验谈:接口的设计

    APP架构设计经验谈:接口的设计
    App与服务器的通信接口如何设计得好,需要考虑的地方挺多的,在此根据我的一些经验做一些总结分享,旨在抛砖引玉。 安全机制的设计 现在,大部分App的接口都采用RESTful架构,RESTFul最重要的一个设计原则就是,客户端与服务器的交互在请求之间是无状态的...
    作者:独自等待 | 发布:2018年7月09日 | 分类: 渗透测试 | 踩踏:11,894次 | 评论:1条
  • MacOS下将burpsuite制作为APP

    MacOS下将burpsuite制作为APP
    从burpsuitev1.7.31版本起,大家应该都可以用到正版授权的burpsuite了 ^_^ 。 在之前的文章里面我介绍过Windows下面如何正确的注册及使用Burpsuitev1.7.31,今天试了一下在macos下面使用,发现还是有些小问题的。 目前burpsuite已经更新到Burpsuitev1.7.32...
    作者:独自等待 | 发布:2018年3月28日 | 分类: 渗透测试 | 踩踏:12,167次 | 评论:8条
    标签:,
  • 为什么参数化查询可以防止SQL注入?

    为什么参数化查询可以防止SQL注入?
    昨天被某大牛问了一个问题,为什么SQL参数化查询可以防止SQL注入,参数化查询的原理是什么? 结果闷逼了,之前只知道参数化查询是可以防止SQL注入,但是没有深究其原理,今天就找一些文章,学习一下,也分享给大家。 以下引用知乎大神们的回答: 原理是采...
    作者:独自等待 | 发布:2018年3月21日 | 分类: SQL注入 | 踩踏:12,526次 | 评论:8条
  • 金融科技SDL安全设计checklist

    金融科技SDL安全设计checklist
    SDL安全设计checklist,属于金融科技SDL安全开发生命周期系列里面很重要的一个篇章。金融科技的产品线广,业务复杂,既有2B的业务,也有2C的业务,既有传统的资金业务,也有新技术广泛应用的消费金融业务、产业链金融业务,第三方支付业务。 很多的网络安...
    作者:独自等待 | 发布:2018年3月13日 | 分类: 渗透测试 | 踩踏:10,657次 | 评论:2条
    标签:,
  • Atlassian Confluence信息泄露漏洞

    Atlassian Confluence信息泄露漏洞
    描述: Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。 Atlassian Confluence 5.8.17之前版本中存在安全,该漏洞源于spaces/viewdefaultdecorator...
    作者:独自等待 | 发布:2017年9月29日 | 分类: 渗透测试 | 踩踏:12,118次 | 评论:2条
  • Tomcat信息泄漏和远程代码执行漏洞分析报告

    Tomcat信息泄漏和远程代码执行漏洞分析报告
    一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,...
    作者:独自等待 | 发布:2017年9月21日 | 分类: 代码审计 | 踩踏:12,178次 | 评论:2条
  • Struts2 S2-052漏洞分析

    Struts2 S2-052漏洞分析
    漏洞概述: 漏洞编号:CVE-2017-9805(S2-052) 影响版本:Struts 2.5 - Struts 2.5.12 漏洞概述:问题出现在struts2-rest-plugin插件XStreamHandler处理器中的toObject()方法,其中未对传入的值进行任何限制,在使用XStream反序列化转换成对象时,导致任意...
    作者:独自等待 | 发布:2017年9月08日 | 分类: 代码审计 | 踩踏:6,094次 | 评论:1条
  • S2-048 动态分析

    S2-048 动态分析
    综述 2017年7月7日,Apache Struts发布最新的安全公告,Apache Structs2的strus1插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9791(S2-048)。攻击者可以构造恶意的字段值通过Struts2的struts2-struts1-plugin的插件,远程执行代码 漏洞分析 (1) ...
    作者:独自等待 | 发布:2017年7月11日 | 分类: 代码审计 | 踩踏:3,292次 | 评论:抢沙发
    标签:,