网站安全测试之验证码绕过漏洞详情分析
在整个网站的安全渗透测试中,网站的验证码绕过漏洞发生的也比较常见,一般程序员在设计整个验证码功能的时候并没有详细的考虑到会被构造恶意的参数进行直接提交,导致服务器端没有做过滤,直接...
admin
UEditor漏洞 任意文件上传漏洞POC与复现 2018 .net新版
UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影响,ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图...
网站漏洞测试 基于Laravel框架的安全分析与修复
Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多, 许多攻击者都在不停的对该网站进行漏洞测试,我们SINE安全在对该套系统进行漏洞测试的 时候,发现存在REC...
如何设计一套属于自己的API越权漏洞扫描平台?
如果写请求接口的级别过高,首先比较两个请求的返回是否一致。如果两个请求都成功并且回报一致,则可能存在越权的风险。例如,更新商品信息可能会返回商品不存在或未经授权的呼叫没有权限,或者可能都...
API接口当中的越权漏洞扫描与测试
水平越权检测,返回的结果多种多样,这就给判断越权带来很大困难。当前的解决方案是,确定接口的不同行为,然后采取不同的策略以提高准确性。采用规则设置和算法优化,使界面越界判断的准确率由仅比较返...
源代码里的逻辑漏洞该如何修补?
广义上来说,大多数漏洞是由程序的逻辑错误引起的,可以称为逻辑漏洞,但我们这里所说的逻辑漏洞没有那么大的范围,这里指的是程序在业务逻辑上的漏洞,业务逻辑漏洞也是很大的范围,不同的业务场景有不同的漏洞,现...
什么是文件上传漏洞? 怎么渗透利用上传webshell
文件上传漏洞广泛存在于各种网站应用程序中,而且后果极为严重。攻击者往往会利用这个漏洞向网站服务器上传一个携带恶意代码的文件,并设法在网站服务器上运行恶意代码。攻击者可能会将钓鱼页面或者挖矿木...
什么是sql注入? 怎么修复该漏洞
SQL注入通常是指将SQL命令插进Web报表递交或输入域名或页面请求的查询字符串,最终实现欺骗服务器恶意的SQL命令。总的来看,运用现有的应用程序,将(恶意)SQL命令注入后台数据...
如何修复代码命令执行漏洞
关于代码命令执行漏洞的修复,下面做了一个非常骚的操作,它使用export这叫做分隔,他把我们输入的IP地址。根据点号,分割成4个部分,比如说你输入的是这个127.0.0.1,中...
网站文件上传漏洞是如何利用的?
经常遇到客户抱怨网站存在上传漏洞导致被入侵,我们来讲一下什么是文件上传漏洞,文件上传动中在我们日常的渗透当中会遇到很多,那么这个漏洞它从代码层面又是如何产生的,今天我们就是从白...