cookie、session网站漏洞修复的办法
对话认证是一个非常大的话题,涉及到各种认证协议和框架,如cookie、session、sso、oauth、openid等,问题较多的在cookie上,cookie是Web服务器返回给客户的常用文字串,...
admin
什么是网站二次漏洞 该如何进行扫描
什么是二次漏洞?首先要结构利用代码写入网站保存,在第二次或多次请求后调用攻击代码触发或修改配置触发的脆弱性被称为二次脆弱性。二次漏洞有点像存储XSS的味道。即使payload插入,也要看页面输出是否过...
源代码里的逻辑漏洞该如何修补?
广义上来说,大多数漏洞是由程序的逻辑错误引起的,可以称为逻辑漏洞,但我们这里所说的逻辑漏洞没有那么大的范围,这里指的是程序在业务逻辑上的漏洞,业务逻辑漏洞也是很大的范围,不同的业务场景有不同的漏洞,现...
对网站源代码的漏洞审计过程分享
Feklickons.php文件也是某些方法定义,也有某些参数过滤,比如GET请求的ID和页面,POST请求的搜索等。我们也可以在这里关注一下,看能不能绕过他们。然后返回index.php,看一下de...
人工AI算法对代码的漏洞检测
必须先谈到SZZ算法,它通常被用于识别漏洞引入的变化,从而推动了缺陷检测技术的发展。该方法是根据版本控制系统(例如Git)的变更记录确定的,其主要过程如下:标识漏洞修正更改:在所有代码更改中,标识包含...
通过XSS漏洞进行上传木马文件的过程
在网上偶然发现了一条XSS木马,于是下载测试。觉得不错,就把它写下来与大家分享。实际上,XSS木马很早就出现了,但是没有多少人在中国引进它。通过测试,我发现它的功能非常强大,能够充分获取远程用户访问网...
防止CSRF漏洞攻击的安全解决方案
因为现代浏览器的工作机制,有一种叫做CSRF的网络攻击形式。本文从攻击的角度分析了这类攻击的原理和作用。本文在阐述攻击原理的同时,提出了服务器端CSRF防御的解决方案。CSRF是现代网络应...
XSS跨站攻击是什么漏洞? 如何利用
XSS跨站脚本攻击:有两种情况。一种是由外部输入触发后,直接在浏览器端,即反射式XSS;;另一种是使用代码,首先保存在数据库或文件中,当web程序读取使用代码并将其输出(即存储XSS)时,触发XS...
网站文件包含漏洞的修复方案
文件包含是什么?程序员通常将可重用函数写成单独的文件,当需要使用某个函数时,可以直接调用该文件。不需要再写了,这个文件调用的过程通常称为文件包含。例子:包括conn.php文件函数通常包含在PHP中。...
Metasploit远程文件包含漏洞的使用
网络安全实战系列收集了网络安全类中的各种常见漏洞。作者根据自己在网络安全领域的学习和工作经验,总结分析了漏洞的原理和利用,致力于漏洞的准确性和丰富性,希望能够帮助网络安全工作者和网络安全学习者,降低获...