web安全

# SQL注入—搜索型 ## 搜索型注入—原理介绍 一些网站为了方便用户查找网站的资源，都对用户提供了搜索的功能，因为是搜索功能，往往是程序员在编写代码时都忽略了对其变量(参数)的过滤，而且这样的漏洞在国内的系统中普遍的存在; 其中又分为 `POST/GET` ，GET型的一般是用在网站上的搜索，而 ... »

Web应用防火墙对网站、APP的业务流量安全及合规性保护，对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理， 将正常安全的流量回源到业务服务器， 保护网站核心业务和数据安全。 ... »

1.已解密的登录请求 推理： AppScan 识别了不是通过 SSL 发送的登录请求。 测试请求和响应： 1.1.1 产生的原因 登录接口,前端传入的密码参数没有经过md5的加密就直接传给了后端 1.1.2 解决方法 前端代码传参的时候做md5加密处理 2.会话标识未更新 推理： 测试结果似乎指示存 ... »

在 Web 安全中，服务端一直扮演着十分重要的角色。然而前端的问题也不容小觑，它也会导致信息泄露等诸如此类的问题。在这篇文章中，我们将向读者介绍如何防范Web前端中的各种漏洞。 ... »

在本节中，我们将学习OWASP（开放网络应用安全项目）发布的十大Web应用安全漏洞。OWASP十大安全漏洞是对Web应用安全风险进行评估的标准，帮助开发者和安全工程师了解并防范常见的安全威胁。 ### 1. A1 - 注入（Injection） **概念**：注入漏洞发生在应用程序将不可信的数据作为 ... »

一键三连，sql注入 一次无意之间发现的sql注入，主要是因为有一个WTS-WAF，在此记录一下 只是友好测试，并非有意为之。。。。 # 牛刀小试1 ## 手注 **判断字段数** 测试到order by 15的时候出现了报错，那么就可以说明字段数为14 ``` http://www.xxx.com ... »

Web安全工具 HackBar HackBar Charset Charset Cookie Hacker Cookie Hacker Proxy SwitchySharp Proxy SwitchySharp Wappalyzer https://www.wappalyzer.com/ Wappa ... »

一、ThinkPHP概述 1. ThinPHP是一个轻量级的PHP框架，旨在提供快速开发Web应用程序的工具和资源。它采用了MVC（Model-View-Controller）架构，使开发人员可以更好地组织和管理代码。ThinPHP还提供了许多有用的功能，如路由、数据库抽象层、模板引擎等，使开发人员 ... »

Snort Fedora Install 简介 Snort 是世界上知名的开源入侵防御系统 (IPS)。Snort IPS 使用一系列规则来帮助定义恶意网络活动，并使用这些规则来查找与其匹配的数据包并为用户生成警报。 Snort 也可以内联部署以阻止这些数据包。Snort 具有三个主要用途：作为数据 ... »

本文将从GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》规定的安全计算环境中解读、摘要若干安全要求，结合Abp框架，对站点进行安全升级。 【身份鉴别】应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 解决方案 设置密码最小长度 密码 ... »

Recon 这台靶机对枚举的要求较高，如果枚举不出有用的信息可能无法进一步展开，我们首先进行普通的扫描。 ┌──(kali㉿kali)-[~/Labs/Joy/80] └─$ sudo nmap -sS -sV -p- 192.168.80.136 Starting Nmap 7.93 ( http ... »

Vulnhub Development Walkthrough Recon 首先使用netdiscover进行二层Arp扫描。 ┌──(kali㉿kali)-[~] └─$ sudo netdiscover -r 192.168.80.0/24 Currently scanning: Finishe ... »

Recon 首先使用netdiscover进行二层Arp扫描。 ┌──(kali㉿kali)-[~] └─$ sudo netdiscover -r 192.168.80.0/24 Currently scanning: Finished! | Screen View: Unique Hosts 5 ... »

管理WEB服务器文件的WebDAV协议 WebADV协议 WEBDAV追加方法 WeDAV请求示例 HTTP大跃进--QUIC与HTTP30 QUIC&HTTP3.0 HTTP2.0的问题 队头阻塞 建立连接的握手延迟大 QUIC的特性 0RTT 没有队头阻塞的多路复用 WEB安全攻击概述 Web应 ... »

一、环境配置 web靶机有一块NAT网卡，只需要修改这块NAT网卡的网关，IP改成与攻击机器同网段就可以了 到web靶机中C:/Oracle/Middleware/user_projects/domains/base_domain/bin目录下以管理员权限点击weblogic启动脚本开启weblog ... »

一、环境配置 web靶机有一块NAT网卡，只需要修改这块NAT网卡的网关，IP改成与攻击机器同网段就可以了 到web靶机中C:/Oracle/Middleware/user_projects/domains/base_domain/bin目录下以管理员权限点击weblogic启动脚本开启weblog ... »

[WEB13] ctf.show_web13 .user.ini绕过 文件上传的要求： 文件的大小要小于24，并且对名字的，后缀的长度都有要求，后缀和名字都不可以包含php的情况下，需要上传一句话木马，小于等于24的格式可以写: <?php eval($_POST[a]); 但是如果写成txt的后缀 ... »

[WEB13] ctf.show_web13 .user.ini绕过 文件上传的要求： 文件的大小要小于24，并且对名字的，后缀的长度都有要求，后缀和名字都不可以包含php的情况下，需要上传一句话木马，小于等于24的格式可以写: <?php eval($_POST[a]); 但是如果写成txt的后缀 ... »

目录 正文 01-RBAC 基于角色的访问控制 02-Shiro 中基于 JdbcRealm 实现用户认证、授权 03-集成到 Spring Boot Web 应用中 04-总结 正文 在安全领域，Subject 用来指代与系统交互的实体，可以是用户、第三方应用等，它是安全认证框架（例 »

前言 本文内容基于我的《Web应用安全入门》公开课视频。 Prompt:下面是一篇课程音频转录后的文本，请把它转成老师和学生对话形式的文本，要求遵循原文结构，语言衔接流畅，保持 Markdown 结构。 New Bing: 你好，这是Bing。我可以帮你把课程音频转录后的文本转成老师和学生对话形式的 ... »