1. 全栈程序员必看首页
  2. 漏洞
  3. 第19页

漏洞

  • 十大漏洞之逻辑漏洞

    十大漏洞之逻辑漏洞

    十大漏洞之逻辑漏洞在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。逻辑漏洞:常见的逻辑漏洞:交易支付,密码修改,密码找回,越权修改,越权查询,,突破限制等各种逻辑漏洞不安全的对象引用指的是平行权限的访问控制缺失A,B同为普通用户,他们之间彼此之间的个人资料应该相互保密的,A的资…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月29日
  • 金融安全资讯精选 2017年第十二期 Gartner预测未来安全技术,Q3安全投融资分析,WPA2 KRACK漏洞分析报告,云上数据保护方法论…

    金融安全资讯精选 2017年第十二期 Gartner预测未来安全技术,Q3安全投融资分析,WPA2 KRACK漏洞分析报告,云上数据保护方法论…

    金融安全资讯精选 2017年第十二期 Gartner预测未来安全技术,Q3安全投融资分析,WPA2 KRACK漏洞分析报告,云上数据保护方法论…摘要:Momentum发布Q3安全行业投融资分析报告WiFi网络WPA2KRACK漏洞分析报告全球人工智能领域专利分析云上如何保护企业重要数据不被窃取【金融安全动态】Gartner对未来安全技术和市场的最新预测概要:(1)到2020年,0DAY漏洞在攻击中发挥的作用将会不到0.1%,这里面不包括敏感的政府目标;(2)到2020年,渗透测试智能化工具将会从2016年的0%增加到10%;(3…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月27日
  • 移动APP漏洞自动化检测平台建设

    移动APP漏洞自动化检测平台建设

    移动APP漏洞自动化检测平台建设前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。一、国内AndroidApp漏洞检测

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月27日
  • 业务逻辑漏洞总结[通俗易懂]

    业务逻辑漏洞总结[通俗易懂]

    业务逻辑漏洞总结[通俗易懂]逻辑漏洞简介逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或代码问题或固有不足。操作上并不影响程序运行,在逻辑上是顺利执行的。这种漏洞一般的防护手段或设备无法阻止,因为走的都是合法流量。也没有防护标准。逻辑漏洞分类越权漏洞密码修改密码找回验证码漏洞支付漏洞短信轰炸投票/积分/抽奖逻辑漏洞重要性常见的OWASP

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月24日
  • XXE注入漏洞

    XXE注入漏洞

    XXE注入漏洞什么是XML要想清楚XXE漏洞,首先要了解XMLXML可扩展标记语言(EXtensibleMarkupLanguage)。它是一门用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML很像HTML,但是标签没有被预定义,需要自行定义标签。它的文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它的设计宗旨是传输数据,而不是显示数据。php版本大于5.4.45的默认不解析外部实体传参实体:有%一般实体:无%xxe漏洞与ssrf漏洞相似虽然场景不同,

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月24日
  • XXE漏洞学习[通俗易懂]

    XXE漏洞学习[通俗易懂]

    XXE漏洞学习[通俗易懂]0x00什么是XML 1.定义XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 2.文档结构XML文档结构包括XML声明、DTD文档类型…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月23日
  • xxe漏洞原理与防御

    xxe漏洞原理与防御

    xxe漏洞原理与防御xml基础知识要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。另外php版本大于5.4.45的默认不解析外部实体XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素为什么使用DTD?通过DTD,您的每一个X…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月23日
  • 软件漏洞分析简述

    软件漏洞分析简述

    软件漏洞分析简述软件漏洞1.1漏洞的定义漏洞,也叫脆弱性(英语:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。漏洞在各时间阶段的名称根据是否公开分为:未公开漏洞、已公开漏洞根据漏洞是否发现分为:未知漏洞、已知漏洞根据补丁和利用价值是否发布分为:0day漏洞、1day漏洞、历史漏洞图1漏洞在各时间阶段的名称漏洞的特…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月20日
  • 常见逻辑漏洞总结「建议收藏」

    常见逻辑漏洞总结「建议收藏」

    常见逻辑漏洞总结「建议收藏」kaixinyufeng博客园首页新随笔联系订阅管理Web安全测试中常见逻辑漏洞解析(实战篇)Web安全测试中常见逻辑漏洞解析(实战篇)简要:越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月20日
  • C# AntiForgeryToken防XSRF漏洞攻击

    C# AntiForgeryToken防XSRF漏洞攻击

    C# AntiForgeryToken防XSRF漏洞攻击XSRF:跨站请求伪造XSRF即在访问B站点的时候,执行了A站点的功能。比如:A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月19日
关注全栈程序员社区公众号