什么是优惠卷漏洞? 代码逻辑存在BUG导致的
我现在买了10万块钱的商品,比如说买了1万1万1万都买了,一共加起来10万块钱的,那么一共给了返了1万块钱的积分,返了我1万的积分,对不对?然后我又把1万块1万的积分给他花了,1万块钱的积分我给换了兑...
admin
如何防止网站编辑器被XSS跨站攻击
1、富文本编辑器信息被WAF(网站应用防火墙)拦截有一些公司的WAF规则非常严谨,对post请求中含有某些标识信息的,会立即认定为攻击,开展阻止。图上深蓝色线框是在原来基本方案根本上的修改。即在web...
渗透测试行动后的漏洞加固修复方案
措施1:打开网络访问白名单,市场服务组通知所有VPN用户报告数据网络出口地址,数据网络组在VPN前的硬件防火墙上增加数据网络访问白名单,保障只有白名单内的用户能够24小时365天访问环境VPN。打开白...
在对网站开展渗透测试 都有哪些需要注意的? 5大阶段
随着网络安全法的实施,等级保护的实施等等。安全已经成为企业建设者和信息技术工作者必须了解的内容之一,其渗透测试作为内容之一,也逐渐流行,慢慢失去其外观,逐渐变得普通。由于"渗透测试"已为公众所...
APP软件安全漏洞扫描防御的那些事儿
一提及软件安全,大伙儿当然会想起“系统漏洞”这一长尾词。通常情况下,1个APP假如出了安全风险,那大机率是由于出了网络安全问题造成 的。针对开发工程师而言,感觉...
渗透测试扫描中对网站安全正确的认知
认识的正确性,安全性是没有绝对100%的,这句老话成了许多“明明能做好,却做不好”的差事的挡箭牌。SINESAFE有一句经典名言,在安全圈老一辈的从业者中很受欢迎...
API接口的越权漏洞风险都有哪些?
微型服务是一种开发软件的体系结构和组织方式,其中软件包括一些中小型的单独服务,它们根据明确定义的API进行通信。每一个中小型单独团队负责这些服务;采用UNIX设计理念,每一个服务只做一件事情,而且是一...
对某APP客户微信小程序的一次渗透测试
继承上一期app软件业务挖洞的一些经验,本文主要是针对小微信应用程序的BUG挖掘,微信小程序默认是用自己的微信可以直接登陆,我们对微信小程序的BUG挖掘,关注的还是逻辑漏洞,下面将从环境搭建...
2020年cissp证书考试的一些个人经验总结
通过2020、11、16年CISSP考试,总结备考经验。我没有参加培训班,完全自学。从报名到考试用了一年半的时间,期间断断续续的学习。实际学习大概两个月,我过了一次,比较顺利。第一,个人...
渗透测试网站和APP 最重要的是信息的搜集
很多文章和大佬都说渗透测试的本质是信息收集。搜集的数据越多,发现漏洞的概率就越大,这就是所谓的资产。于是,传统的资产搜集手段和思路也变得千篇一律。专注于子域名和IP采集,其实资产采集的核心思...