怎样绕过滑动验证码的防御机制 利用session重放机制漏洞
在业务流程安全领域,拖动滑块验证早已是我国继过去字符型图片验证码过后的标准配置。大家都知道,打码网站和机器学习算法这二种绕开图片验证码的方法,早已是网络攻击很流行的基本思路,已不举例说明。...
admin
如何编写越权漏洞的扫描软件?
写这个软件已经半年多了。希望以自己的方式记录为沉淀。当业内有人再次提到“越权扫描器”时,从前端到后端,从代理到消费,从设计到使用,都会有一个感性的参照。 为什么要做...
网站常见安全漏洞问题与防御解决方法
密码存储,存储在数据库中的帐户密码不能以纯文本存储,需要加密,md5转换、加盐(相邻密码等)是常用的加密方法帐户盗窃的常见原因:密码太常见;密码太简单;拖库;撞库。 网络安全,防止sql注入攻击并验...
关于shiro反序列化漏洞的总结分享
3月到8月有很多老师傅写了很多文章关注对shiro的应用,我也综合了各位老师傅的想法和思路做了些脚本。 key检测: 之前的脚本批量检测shiro是否存在,或者说获取key我们最多应用的是xmlDn...
如何设计一套属于自己的API越权漏洞扫描平台?
如果写请求接口的级别过高,首先比较两个请求的返回是否一致。如果两个请求都成功并且回报一致,则可能存在越权的风险。例如,更新商品信息可能会返回商品不存在或未经授权的呼叫没有权限,或者可能都...
构建中间件漏洞修复快速体系 从WEB到APP端
为了解决以上问题,SINE安全对中间件漏洞修复方案进行了全套优化,其目标是在提高大规模漏洞修复效率的同时,尽量降低部门整体修复成本,并避免大规模修复造成的生产环境事件:建立规范的中间件管理体...
越权漏洞怎么测试?从人工对代码进行审计入手
随着技术的发展和安全技术的普及,大多数互联网企业的网页安全漏洞可能出现在业务逻辑漏洞中,尤其是越权问题。黑盒测试会带来很多脏数据。同时,白盒扫描不可接受的误报率和代码审计的低效率是挖掘越权漏洞的大山。...
防止CSRF漏洞攻击的安全解决方案
因为现代浏览器的工作机制,有一种叫做CSRF的网络攻击形式。本文从攻击的角度分析了这类攻击的原理和作用。本文在阐述攻击原理的同时,提出了服务器端CSRF防御的解决方案。CSRF是现代网络应...
csrf跨站伪造请求漏洞是什么?
什么是CSRF呢?跨站点请求伪造(CSRF),中文通常翻译为跨站点请求伪造。常被选为owasp漏洞列表中的前10名,并且与XSS和SQL一起在当前网络漏洞排名中名列前三。CSRF比前两者受...
短信验证码漏洞都有哪些? 如何修补
有些网站是用手机短信登录的,短信验证码可以绕过,开展别的操作。检验方法:一、请求发送一条短信,填写一个验证码,然后提交另一个操作请求,验证码的参数是空的,或者是删除的,测试检测是...