cookie、session网站漏洞修复的办法
对话认证是一个非常大的话题,涉及到各种认证协议和框架,如cookie、session、sso、oauth、openid等,问题较多的在cookie上,cookie是Web服务器返回给客户的常用文字串,...
admin
源代码里的逻辑漏洞该如何修补?
广义上来说,大多数漏洞是由程序的逻辑错误引起的,可以称为逻辑漏洞,但我们这里所说的逻辑漏洞没有那么大的范围,这里指的是程序在业务逻辑上的漏洞,业务逻辑漏洞也是很大的范围,不同的业务场景有不同的漏洞,现...
2021年白帽漏洞POC提交奖励计划
为了更好地保障网络安全,提高安全防御能力,避免服务器被黑客攻击后被用于恐吓和挖矿。先知特意拟定了《通用漏洞威胁信息奖励X计划》,以提供奖励的方法鼓励白帽遵循责任漏洞披露机制,为我们提供通用软件的安全漏...
对软件漏洞自动化扫描与POC利用的探讨
国内近年来也出现了类似的RHG比赛。另外,随着软件的复杂性,模糊检测技术的成熟,漏洞的数量也在增加。修补所有漏洞并不现实,人工判断漏洞的危害性也是一个耗时的过程。因此,这也促进了漏洞的自动生成。本文根...
通过XSS漏洞进行上传木马文件的过程
在网上偶然发现了一条XSS木马,于是下载测试。觉得不错,就把它写下来与大家分享。实际上,XSS木马很早就出现了,但是没有多少人在中国引进它。通过测试,我发现它的功能非常强大,能够充分获取远程用户访问网...
网站文件包含漏洞的修复方案
文件包含是什么?程序员通常将可重用函数写成单独的文件,当需要使用某个函数时,可以直接调用该文件。不需要再写了,这个文件调用的过程通常称为文件包含。例子:包括conn.php文件函数通常包含在PHP中。...
Metasploit远程文件包含漏洞的使用
网络安全实战系列收集了网络安全类中的各种常见漏洞。作者根据自己在网络安全领域的学习和工作经验,总结分析了漏洞的原理和利用,致力于漏洞的准确性和丰富性,希望能够帮助网络安全工作者和网络安全学习者,降低获...
利用PHP文件包含漏洞 对网站进行攻击
PHP是当前非常流行的Web开发语言,但如果您在使用PHP开发Web应用程序时忽略它,就会造成PHP文件中包含漏洞。PHP文件包含漏洞是很常见的,但是通过PHP文件入侵包含漏洞的站点,甚至可以访问站点...
软件漏洞挖掘的动态分析技术
软件的高复杂性和安全漏洞的多样化给软件安全漏洞的研究带来了严峻的挑战。传统的漏洞挖掘方法效率低下,存在高误报、高漏报等问题,已不能满足日益增长的软件安全需求。目前,大量的研究工作试图将...
关于网络漏洞的动态污点分析
2006年首次提出漏洞传播分析技术。一开始,该技术证明了网站运行过程中澄清数据流的传输过程。污点传播技术主要分为静态和动态污点传播技术。污点分析技术作为静态污点传播的分析技术,是对一些特殊数...